Quanto è probabile che la vulnerabilità Hot Potato possa essere sfruttata su un computer aggiornato di Windows 2012?

2

Recentemente ho trovato un articolo sulla vulnerabilità Hot Potato e mi è sembrato piuttosto interessante.

Using this technique, we can elevate our privilege on a Windows workstation from the lowest levels to “NT AUTHORITY\SYSTEM” – the highest level of privilege available on a Windows machine.

L'exploit consiste fondamentalmente in tre aspetti:

  1. Spoofer NBNS locale
  2. Server proxy WPAD falso
  3. HTTP - > Relè NTLM SMB

Sono particolarmente interessato a questa vulnerabilità su Windows Server 2012 (R2). L'exploit utilizza un meccanismo di aggiornamento automatico che scarica gli elenchi di certificati attendibili (CTL) su base giornaliera.

The researchers said that using SMB (Server Message Block) signing may theoretically block the attack. Other method to stop the NTNL relay attack is by enabling “Extended Protection for Authentication” in Windows.

La mia domanda è una delle due attenuazioni suggerite dai ricercatori automaticamente utilizzate come patch / correzione tramite Windows Update, dal momento che la vulnerabilità iniziale è stata rilasciata? Penso da qualche parte all'inizio del 2016 .

Nota: è ironico che l'introduzione di un aggiornamento giornaliero dei CTL che ha lo scopo di migliorare la sicurezza, introduce una massiccia vulnerabilità di escalation dei privilegi.

    
posta Bob Ortiz 18.03.2017 - 10:25
fonte

1 risposta

2

No, la firma SMB e / o l'EPA devono essere cambiati a livello di policy - politica locale e / o Criteri di gruppo. Non esiste una patch che copra correttamente tutti gli attacchi relay NTLM. L'altra preoccupazione è JASBUG, che richiede la firma SMB e / o EPA insieme a un criterio di tempra del percorso UNC.

Vedi - link - per ulteriori informazioni su entrambi

    
risposta data 18.03.2017 - 18:56
fonte