Recentemente ho trovato un articolo sulla vulnerabilità Hot Potato e mi è sembrato piuttosto interessante.
Using this technique, we can elevate our privilege on a Windows workstation from the lowest levels to “NT AUTHORITY\SYSTEM” – the highest level of privilege available on a Windows machine.
L'exploit consiste fondamentalmente in tre aspetti:
- Spoofer NBNS locale
- Server proxy WPAD falso
- HTTP - > Relè NTLM SMB
Sono particolarmente interessato a questa vulnerabilità su Windows Server 2012 (R2). L'exploit utilizza un meccanismo di aggiornamento automatico che scarica gli elenchi di certificati attendibili (CTL) su base giornaliera.
The researchers said that using SMB (Server Message Block) signing may theoretically block the attack. Other method to stop the NTNL relay attack is by enabling “Extended Protection for Authentication” in Windows.
La mia domanda è una delle due attenuazioni suggerite dai ricercatori automaticamente utilizzate come patch / correzione tramite Windows Update, dal momento che la vulnerabilità iniziale è stata rilasciata? Penso da qualche parte all'inizio del 2016 .
Nota: è ironico che l'introduzione di un aggiornamento giornaliero dei CTL che ha lo scopo di migliorare la sicurezza, introduce una massiccia vulnerabilità di escalation dei privilegi.