Im April 2021 hatten Sicherheitsforscher eine Privilege Escalation Schwachstelle im Windows RPC-Protokoll entdeckt, der eine lokale Privilegienerweiterung durch NTLM-Relay-Angriffe ermöglichte. Nun scheint ein Sicherheitsforscher auf eine nicht so bekannte Möglichkeit zur Durchführung von NTLM Reflection-Angriffen gestoßen zu sein, die er als LocalPotato bezeichnet. Er will Details zur Schwachstelle (CVE-2023-21746) im Februar 2023 veröffentlichen – gepatcht wurde diese Schwachstelle mit den Januar 2023-Updates für Windows.
Anzeige
Rückblick auf RemotePotato0
Im April 2021 hatte der Forscher Antonio Cocomazzi von Sentinel LABS und der unabhängige Sicherheitsforscher Andrea Pierini einen Artikel mit dem Titel Relaying Potatoes: Another Unexpected Privilege Escalation Vulnerability in Windows RPC Protocol veröffentlicht. Der Artikel beschrieb eine lokale Schwachstelle zur Privilegienerweiterung, die sie in Windows gefunden und an Microsoft gemeldet hatten. Ich hatte im Juli 2021 im Beitrag RemotePotato0: Privilege Escalation-Schwachstelle im Windows RPC Protocol darüber berichtet.
Die Sicherheitslücke ermöglicht es einem angemeldeten Angreifer mit niedrigen Privilegien, eine von mehreren Spezialanwendungen in der Sitzung eines anderen Benutzers zu starten. Der Benutzer muss aber gerade am selben Computer angemeldet sein, und diese Anwendung dazu zu bringen, den NTLM-Hash des Benutzers an eine vom Angreifer ausgewählte IP-Adresse zu senden. Wenn der Angreifer einen NTLM-Hash von einem Domänenadministrator abfängt, kann er eine eigene Anfrage an den Domänencontroller stellen, in der er sich als dieser Administrator ausgibt, und eine administrative Aktion durchführen, z. B. sich selbst zur Gruppe der Domänenadministratoren hinzufügen.
Microsoft entschied, diese Schwachstelle nicht zu beheben, da "Server sich gegen NTLM-Relay-Angriffe verteidigen müssen". In der Realität schützen sich viele Server nicht vor NTLM-Relay-Angriffen. Da die Schwachstelle in allen unterstützten Windows-Versionen vorhanden ist (sowie in allen nicht unterstützten Versionen, die die ACROS Security-Leute als sicherheitsrelevant eingestuft haben), haben die ACROS Security-Leute beschlossen, die Schwachstelle mit einem Micro-Patch zu beseitigen. Ich hatte im Beitrag 0patch fixt RemotePotato0-Schwachstelle in Windows über diesen Fix berichtet.
Jetzt kommt LocalPotato (CVE-2023-21746)
Die Tage bin ich auf Twitter über die nachfolgende Meldung des Sicherheitsforschers Andrea Pierini ap gestolpert, der mit Antonio Cocomazzi von Sentinel One eine neue Schwachstelle in diesem Bereich entdeckt hat. Er schreibt, dass ein nicht ganz so üblicher NTLM-Reflection-Angriff möglich sei, der beliebiges Lesen und Schreiben und damit eine Privilegienerhöhung auf SYSTEM-Rechte ermöglicht.
Anzeige
Das Ganze läuft unter LocalPotato und hat die CVE-2023-21746-Kennung erhalten. Der Sicherheitsforscher will die Details nach 30 Tagen (also wohl zum 7. Februar 2023) veröffentlichen. Microsoft beschreibt die Schwachstelle als Windows NTLM Elevation of Privilege Vulnerability und stuft die Ausnutzung als "wenig wahrscheinlich" ein. Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, könnte SYSTEM-Rechte erlangen. Diese Schwachstelle wurde aber mit den Sicherheitsupdates für Windows vom 10. Januar 2023 geschlossen.
Details zu LocalPotato
Nun hat Antonio Cocomazzi in nachfolgendem Tweet auf den Artikel mit weiteren Details zu dieser Schwachstelle hingewiesen.
Ähnliche Artikel:
RemotePotato0: Privilege Escalation-Schwachstelle im Windows RPC Protocol
0patch fixt RemotePotato0-Schwachstelle in Windows
Microsoft fixt (PetitPotam) NTLM Relay-Schwachstelle (CVE-2022-26925) mit Windows Mai 2022-Update
PetitPotam-Angriff erlaubt Windows Domain-Übernahme
Microsofts Workaround gegen Windows PetitPotam NTLM-Relay-Angriffe
PetitPotam-Angriffe auf Windows durch RPC-Filter blocken
0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)
2. 0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)
Windows-Schwachstelle CVE-2021-36942 (Petitpotam) und DCOM-Härtung
Microsoft Security Update Summary (10. Januar 2023)
Patchday: Windows 10-Updates (10. Januar 2023)
Patchday: Windows 11/Server 2022-Updates (10. Januar 2023)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (10. Januar 2023)
Anzeige