首頁安全Windows:零日“RemotePotato0”收到非官方更新

Windows:零日“RemotePotato0”收到非官方更新

漏洞 影響所有版本的擴展權限 Windows 並且可能允許惡意代理通過 NTLM 重傳攻擊獲得管理員權限,已收到非官方補丁。

遠程土豆0

另見: 微軟:修復了 Windows 蠕蟲 HTTP 漏洞

該漏洞名為 RemotePotato0,由其研究人員發現 哨兵實驗室, 安東尼奧·科科馬齊 和他 安德烈亞·皮耶里尼,於 2021 年 XNUMX 月披露。

它允許入侵者啟用經過身份驗證的 RPC / DCOM 調用並將 NTLM 身份驗證重新傳輸到其他協議,從而允許他們增加域管理員權限,可能會完全破壞域。

«允許低級別攻擊者登錄,在同時登錄同一計算機的任何其他用戶的會話中啟動許多特殊用途應用程序之一,並強制該應用程序向該用戶發送 NTLM 哈希攻擊者選擇的 IP 地址”,解釋了 0patch 的聯合創始人, 米賈·科爾塞克,在一篇博文中。

入侵者必須在攻擊時誘騙具有管理員權限的家庭用戶登錄才能成功利用。

然而,正如 Kolsek 所說,這在 Windows Server 系統上要容易得多,因為包括管理員在內的許多用戶同時登錄,因此消除了社會工程學要求。

另請參閱: 漏洞允許攻擊者控製藥物輸送泵

Windows NT(新技術)LAN Manager (NTLM) 身份驗證協議用於對遠程用戶進行身份驗證,並在應用程序協議請求時提供會話安全性。

零日

Kerberos 已取代 NTLM,它是所有 Windows 2000 及更高版本的域連接設備的當前默認身份驗證協議。

儘管如此,NTLM 仍然在 Windows 服務器上使用,允許攻擊者利用 RemotePotato0 等旨在繞過緩解 NTLM 重傳攻擊的漏洞。

微軟告訴研究人員,Windows 管理員應該禁用 NTLM 或配置他們的服務器以使用 Active Directory 認證服務 (AD CS) 阻止 NTLM 重傳攻擊。

在 Microsoft 決定針對此漏洞發布安全更新之前,micropatching 0patch 已經發布了稱為 micropatches 的免費非官方補丁。

0patch 使用 Cocomazzi 和 Pierini 在其 2021 年 XNUMX 月的報告中共享的信息開發了修復程序。

另見: 0修補程序:支持終止後對Windows 7和Server 2008 R2的更新

RemotePotato0 的非官方補丁適用於從 Windows 7 到最新版本的 Windows 10 以及從 Windows Server 2008 到 Windows Server 2019 的所有 Windows 版本。

要在您的系統上安裝 micropatch,您必須首先創建一個 0patch 帳戶,然後安裝 0patch 代理。

代理啟動後,微補丁將自動運行而無需重新啟動,除非您啟用了自定義補丁來阻止它。

沒有米婭https://www.secnews.gr
在一個不斷嘗試改變你的世界裡,做你自己,是你最大的成就
現貨圖片

實時新聞