NESABAMEDIA.COM – Una vulnerabilidad de escalada de privilegios que afecta a todas las versiones de Windows, que permite a los piratas informáticos obtener derechos de administrador a través de ataques NTLM, ha recibido un parche de solución no oficial. La razón es que Microsoft declaró que el error no se solucionaría.
La vulnerabilidad, posteriormente denominada Remote Potato0 por el investigador de seguridad de Sentinel LABS Antonio Cocomazzi y el investigador independiente Andrea Pierini, ni siquiera tiene un ID CVE después de que Microsoft se negó a enviar una solución. Los dos investigadores fueron quienes descubrieron y divulgaron el error en abril de 2021.
Según los dos, el error permitió a los piratas informáticos activar llamadas de autenticación RPC/DCOM y omitir la autenticación NTLM a otros protocolos, lo que luego les dio la oportunidad de escalar los derechos de acceso a los administradores y aparentemente apoderarse de todo el dispositivo.
“Esto permite a los piratas informáticos con pocos privilegios iniciar alguna aplicación maliciosa en la sesión de otro usuario actualmente conectado en la misma computadora, y hacer que esa aplicación envíe el hash NTLM de ese usuario a una dirección IP elegida por el perpetrador”, dijo Mitja Kolsek, fundador de 0patch. . .
0patch es una empresa de terceros que envía correcciones gratuitas del error, que pueden bloquear RemotePotato0 en los servidores o dispositivos afectados.
“Bloquea los hashes NTLM de los administradores de dominio, porque los atacantes pueden realizar sus propias solicitudes a los controladores de dominio haciéndose pasar por administradores y realizar una serie de acciones administrativas, como agregarse al grupo de administradores”, agregó.
Si bien los perpetradores pueden tener trucos para engañar a los usuarios domésticos que tienen privilegios de administrador y que inician sesión cuando se realiza un exploit exitoso, es mucho más fácil si el objetivo es un servidor Windows, ya que muchos usuarios inician sesión simultáneamente, incluidos los administradores, eliminando la necesidad. para experimentación ataques con métodos de ingeniería social.
Aquí hay una demostración en video sobre el error RemotePotato0 en Windows:
El protocolo de autenticación LAN Manager (NTLM) de Windows NT (nueva tecnología) se utiliza normalmente para autenticar usuarios de forma remota, lo que puede proporcionar sesiones seguras cuando lo requieran los protocolos de la aplicación. Kerberos ha reemplazado a NTLM, que ahora es el protocolo de autenticación predeterminado actual para dispositivos conectados a un dominio para todos los sistemas Windows 2000 y posteriores.
Sin embargo, NTLM todavía se usa ampliamente para Windows Server, lo que permite a los perpetradores explotar vulnerabilidades como RemotePotato0, que está diseñado para penetrar NTLM.
Microsoft ha pedido anteriormente a los administradores que apaguen NTLM o configuren sus servidores para bloquear ataques NTLM utilizando Active Directory Certificate Services (AD CS). Sobre esta base microsoft luego declaró que no enviaría una solución para este error.
