{"id":256130,"date":"2021-07-26T12:58:14","date_gmt":"2021-07-26T10:58:14","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256130"},"modified":"2021-09-06T23:15:30","modified_gmt":"2021-09-06T21:15:30","slug":"remotepotato0-privilege-escalation-schwachstelle-im-windows-rpc-protocol","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/26\/remotepotato0-privilege-escalation-schwachstelle-im-windows-rpc-protocol\/","title":{"rendered":"RemotePotato0: Privilege Escalation-Schwachstelle im Windows RPC Protocol"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/07\/27\/remotepotato0-privilege-escalation-schwachstelle-im-windows-rpc-protocol\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Jedes Windows-System ist anf\u00e4llig f\u00fcr eine bestimmte NTLM-Relay-Attacke, die es Angreifern erm\u00f6glichen k\u00f6nnte, die Privilegien vom Benutzer zum Domain-Admin zu erweitern. Diese Schwachstelle besitzt den Status \"wird nicht behoben\" und war Gegenstand des PetitPotam-Ansatzes, den ich am Wochenende thematisiert hatte. Nun hat <em><a href=\"https:\/\/www.linkedin.com\/in\/antonio-cocomazzi\/\" target=\"_blank\" rel=\"noopener\">Antonio Cocomazzi<\/a>\u00a0 <\/em>auf die RemotePotato0 genannte Schwachstelle hingewiesen. Diese verwendet das Windows RPC Protocol f\u00fcr eine Privilegien-Ausweitung.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/5442c9ba2d2a48538277cbfecdfb5e2a\" alt=\"\" width=\"1\" height=\"1\" \/>Das Ganze ist nicht mehr so neu, hat der Sicherheitsforscher bei Sentinel doch bereits im April 2021 auf diese Schwachstelle hingewiesen. Nun hat er auf Github seine <a href=\"https:\/\/github.com\/antonioCoco\/RemotePotato0\/releases\/tag\/1.1\" target=\"_blank\" rel=\"noopener\">RemotePotato0 Cross Session Activation<\/a>-Tool ver\u00f6ffentlicht, auf das ich \u00fcber nachfolgenden <a href=\"https:\/\/twitter.com\/decoder_it\/status\/1419403714222301186\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> gesto\u00dfen bin.<\/p>\n<p><a href=\"https:\/\/twitter.com\/decoder_it\/status\/1419403714222301186\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"RemotePotato0-Schwachstelle in Windows\" src=\"https:\/\/i.imgur.com\/JtX1bHM.png\" alt=\"RemotePotato0-Schwachstelle in Windows\" \/><\/a><\/p>\n<p>Das auf <a href=\"https:\/\/twitter.com\/splinter_code\/status\/1419405036350758916\" target=\"_blank\" rel=\"noopener\">Twitter ver\u00f6ffentlichte GIF<\/a> demonstriert den Einsatz des Tools. Der Github-Post gibt f\u00fcr mich nicht so viel her, aber die Sentinel-Sicherheitsforscher um <em>Antonio <\/em>Cocomazzi\u00a0 haben auf Twitter in diesem <a href=\"https:\/\/twitter.com\/decoder_it\/status\/1419545302072274947\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> auf den separaten Artikel mit weiteren Erl\u00e4uterungen hingewiesen.<\/p>\n<p><a href=\"https:\/\/twitter.com\/decoder_it\/status\/1419545302072274947\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"RemotePotato0-Schwachstelle in Windows\" src=\"https:\/\/i.imgur.com\/XsHcgSD.png\" alt=\"RemotePotato0-Schwachstelle in Windows\" \/><\/a><\/p>\n<p>In <a href=\"https:\/\/web.archive.org\/web\/20210822230914\/https:\/\/labs.sentinelone.com\/relaying-potatoes-dce-rpc-ntlm-relay-eop\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> erkl\u00e4ren die SentinelLabs-Sicherheitsforscher um <em>Antonio <\/em>Cocomazzi\u00a0 den \"Relaying Potatos\" genannten Angriff \u00fcber das Windows RPC-Protokoll. Die Aussage:<\/p>\n<ul>\n<li>Jedes Windows-System ist anf\u00e4llig f\u00fcr eine bestimmte NTLM-Relay-Attacke, die es Angreifern erm\u00f6glichen k\u00f6nnte, die Privilegien vom Benutzer zum Domain-Admin zu erweitern.<\/li>\n<li>Der aktuelle Status dieser Sicherheitsl\u00fccke ist von Microsoft auf \"wird nicht behoben\" gesetzt.<\/li>\n<\/ul>\n<p>Im Blog-Beitrag skizzieren die Sicherheitsforscher, wie das Windows RPC-Protokoll f\u00fcr einen NTLM-Relay-Angriff missbraucht werden k\u00f6nnte. In Folge kann der Angreifer mit normalen Benutzerrechten seine Privilegien zum Domain-Admin zu erweitern. Im Blog-Beitrag geben die Sicherheitsforscher aber Hinweise, was Administratoren unternehmen k\u00f6nnen, um diesen Angriffsvektor zu entsch\u00e4rfen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/20\/windows-10-sam-zugriffsrechte-ab-1809-nach-upgrade-kaputt-benutzerzugriff-mglich\/\">Windows 10: SAM-Zugriffsrechte ab 1809 nach Upgrade kaputt, Benutzerzugriff m\u00f6glich<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/21\/hivenightmare-neue-details-zur-windows-schwachstelle-cve-2021-36934\/\">HiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/01\/poc-fr-windows-print-spooler-schwachstelle-ffentlich-hohes-rce-risiko\/\">PoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/02\/windows-print-spooler-schwachstelle-cve-2021-1675-printnightmare-von-ms-besttigt-cisa-warnt\/\">Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS best\u00e4tigt; CISA warnt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/03\/0patch-micropatches-fr-printnightmare-schwachstelle-cve-2021-34527\/\">0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/07\/notfall-update-schliet-printnightmare-schwachstelle-in-windows\/\">Notfall-Update schlie\u00dft PrintNightmare-Schwachstelle in Windows (6. Juli 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/08\/printnightmare-notfall-update-auch-fr-windows-server-2012-und-2016\/\">PrintNightmare-Notfall-Update auch f\u00fcr Windows Server 2012 und 2016 (7. Juli 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/08\/nachlese-das-chaos-printnightmare-notfall-update-6-7-juli-2021\/\">Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6.\/7.Juli 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/19\/printnightmare-point-and-print-erlaubt-die-installation-beliebiger-dateien\/\">PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/24\/petitpotam-angriff-erlaubt-windows-domain-bernahme\/\">PetitPotam-Angriff erlaubt Windows Domain-\u00dcbernahme<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/25\/microsoft-liefert-workaround-fr-windows-petitpotam-ntlm-relay-angriffe\/\">Microsofts Workaround gegen Windows PetitPotam NTLM-Relay-Angriffe<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Jedes Windows-System ist anf\u00e4llig f\u00fcr eine bestimmte NTLM-Relay-Attacke, die es Angreifern erm\u00f6glichen k\u00f6nnte, die Privilegien vom Benutzer zum Domain-Admin zu erweitern. Diese Schwachstelle besitzt den Status \"wird nicht behoben\" und war Gegenstand des PetitPotam-Ansatzes, den ich am Wochenende thematisiert hatte. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/07\/26\/remotepotato0-privilege-escalation-schwachstelle-im-windows-rpc-protocol\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-256130","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256130","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256130"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256130\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256130"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256130"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256130"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}