Falla 0-day 'RemotePotato0' su Windows: cos'è e come risolvere temporaneamente

Falla 0-day 'RemotePotato0' su Windows: cos'è e come risolvere temporaneamente

La falla potrebbe consentire a un aggressore di ottenere i permessi di amministratore di dominio, partendo dai permessi di base. Microsoft si rifiuta di rilasciare un fix, offrendo invece un workaraound, mentre una patch è stata rilasciata via 0patch Agent

di pubblicata il , alle 12:31 nel canale Sistemi Operativi
MicrosoftWindows
 

Tutte le versioni di Windows più utilizzate sono vulnerabili a una falla 0-day nota come RemotePotato0, che permette ad un eventuale aggressore di scalare il proprio livello di accesso fino ad ottenere i permessi di amministratore del dominio.

Scoperta dai ricercatori di SentinelOne Antonio Cocomazzi e Andrea Pierini lo scorso mese di aprile, il bug non ha ancora un fix ufficiale (secondo BleepingComputer la stessa Microsoft si è rifiutata di offrirlo). Sono disponibili, però, diverse patch non ufficiali che risolvono RemotePotato0.

RemotePotato0 ha finalmente un fix (anche se non ufficiale)

La falla si basa su un attacco NTLM relay, che consente a chi effetua l'attacco di attivare chiamate autenticate via RPC/DCOM. Inoltrando l'autenticazione NTLM attraverso altri protocolli è possibile ottenere permessi elevati sul dominio preso di mira, diventando in sostanza gli stessi amministratori del dominio.

Il cofondatore di 0-patch Mitja Kolsek ha descritto l'attacco così, sul blog ufficiale:

"[La falla] consente a un utente malintenzionato connesso con privilegi limitati di avviare una delle numerose applicazioni malevoli nella sessione di qualsiasi altro utente che è connesso allo stesso computer nello stesso momento e fare in modo che l'applicazione invii l'hash NTLM dell'utente a un indirizzo IP scelto dall'aggressore. Intercettando un hash NTLM da un amministratore di dominio, l'attaccante può creare la propria richiesta per il controller di dominio fingendo di essere quell'amministratore ed eseguire alcune azioni amministrative come aggiungersi al gruppo Domain Administrators".

NTLM (Windows NT LAN Manager) è un vecchio protocollo di autenticazione, che ha come successore Kerberos. Si tratta tuttavia di un sistema comunemente utilizzato, nonostante sia obsoleto: proprio per questo Microsoft potrebbe essersi rifiutata di sviluppare una patch per risolvere RemotePotato0, consigliando invece di disabilitare NTLM o configurare i server Windows affinché blocchino in autonomia gli attacchi NTLM relay. La decisione, benché giustificabile, è rischiosa perché si tratta di un exploit che non richiede l'interazione della vittima.

Come risolverla, allora, se non si vuole rinunciare a NTLM? L'unica, in attesa di un responso diverso da parte dell'azienda di Redmond, è creare un account 0patch e installare 0patch Agent, una piattaforma pensata proprio per risolvere i problemi su software e servizi non più supportati. La 0patch per RemotePotato0 è disponibile per tutte le versioni di Windows da Windows 7 a Windows 10, e anche da Windows Server 2008 fino a Windows Server 2019.

 

Idee regalo, perché perdere tempo e rischiare di sbagliare?
REGALA UN BUONO AMAZON
!

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^