{"id":276862,"date":"2023-01-15T00:27:00","date_gmt":"2023-01-14T23:27:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276862"},"modified":"2023-02-11T00:02:55","modified_gmt":"2023-02-10T23:02:55","slug":"nach-remotepotato0-kommt-die-windows-local-potato-ntlm-schwachstelle-cve-2023-21746","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/01\/15\/nach-remotepotato0-kommt-die-windows-local-potato-ntlm-schwachstelle-cve-2023-21746\/","title":{"rendered":"Nach RemotePotato0 kommt die Windows Local Potato NTLM-Schwachstelle (CVE-2023-21746)"},"content":{"rendered":"

\"Windows\"Im April 2021 hatten Sicherheitsforscher eine Privilege Escalation Schwachstelle im Windows RPC-Protokoll entdeckt, der eine lokale Privilegienerweiterung durch NTLM-Relay-Angriffe erm\u00f6glichte. Nun scheint ein Sicherheitsforscher auf eine nicht so bekannte M\u00f6glichkeit zur Durchf\u00fchrung von NTLM Reflection-Angriffen gesto\u00dfen zu sein, die er als LocalPotato bezeichnet. Er will Details zur Schwachstelle (CVE-2023-21746) im Februar 2023 ver\u00f6ffentlichen – gepatcht wurde diese Schwachstelle mit den Januar 2023-Updates f\u00fcr Windows.<\/p>\n

<\/p>\n

R\u00fcckblick auf RemotePotato0<\/h2>\n

\"\"Im April 2021 hatte der Forscher Antonio Cocomazzi von Sentinel LABS und der unabh\u00e4ngige Sicherheitsforscher Andrea Pierini einen Artikel mit dem Titel Relaying Potatoes: Another Unexpected Privilege Escalation Vulnerability in Windows RPC Protocol<\/a> ver\u00f6ffentlicht. Der Artikel beschrieb eine lokale Schwachstelle zur Privilegienerweiterung, die sie in Windows gefunden und an Microsoft gemeldet hatten. Ich hatte im Juli 2021 im Beitrag RemotePotato0: Privilege Escalation-Schwachstelle im Windows RPC Protocol<\/a> dar\u00fcber berichtet.<\/p>\n

Die Sicherheitsl\u00fccke erm\u00f6glicht es einem angemeldeten Angreifer mit niedrigen Privilegien, eine von mehreren Spezialanwendungen in der Sitzung eines anderen Benutzers zu starten. Der Benutzer muss aber gerade am selben Computer angemeldet sein, und diese Anwendung dazu zu bringen, den NTLM-Hash des Benutzers an eine vom Angreifer ausgew\u00e4hlte IP-Adresse zu senden. Wenn der Angreifer einen NTLM-Hash von einem Dom\u00e4nenadministrator abf\u00e4ngt, kann er eine eigene Anfrage an den Dom\u00e4nencontroller stellen, in der er sich als dieser Administrator ausgibt, und eine administrative Aktion durchf\u00fchren, z. B. sich selbst zur Gruppe der Dom\u00e4nenadministratoren hinzuf\u00fcgen.<\/p>\n

Microsoft entschied, diese Schwachstelle nicht zu beheben, da \"Server sich gegen NTLM-Relay-Angriffe verteidigen m\u00fcssen\". In der Realit\u00e4t sch\u00fctzen sich viele Server nicht vor NTLM-Relay-Angriffen. Da die Schwachstelle in allen unterst\u00fctzten Windows-Versionen vorhanden ist (sowie in allen nicht unterst\u00fctzten Versionen, die die ACROS Security-Leute als sicherheitsrelevant eingestuft haben), haben die ACROS Security-Leute beschlossen, die Schwachstelle mit einem Micro-Patch zu beseitigen. Ich hatte im Beitrag 0patch fixt RemotePotato0-Schwachstelle in Windows<\/a> \u00fcber diesen Fix berichtet.<\/p>\n

Jetzt kommt LocalPotato (CVE-2023-21746)<\/h2>\n

Die Tage bin ich auf Twitter \u00fcber die nachfolgende Meldung des Sicherheitsforschers Andrea Pierini<\/a> ap gestolpert, der mit Antonio Cocomazzi<\/a> von Sentinel One eine neue Schwachstelle in diesem Bereich entdeckt hat. Er schreibt, dass ein nicht ganz so \u00fcblicher NTLM-Reflection-Angriff m\u00f6glich sei, der beliebiges Lesen und Schreiben und damit eine Privilegienerh\u00f6hung auf SYSTEM-Rechte erm\u00f6glicht.<\/p>\n

<\/a><\/p>\n

Das Ganze l\u00e4uft unter LocalPotato und hat die CVE-2023-21746<\/a>-Kennung erhalten. Der Sicherheitsforscher will die Details nach 30 Tagen (also wohl zum 7. Februar 2023) ver\u00f6ffentlichen. Microsoft beschreibt die Schwachstelle als Windows NTLM Elevation of Privilege Vulnerability<\/em> und stuft die Ausnutzung als \"wenig wahrscheinlich\" ein. Ein Angreifer, der diese Sicherheitsl\u00fccke erfolgreich ausnutzt, k\u00f6nnte SYSTEM-Rechte erlangen. Diese Schwachstelle wurde aber mit den Sicherheitsupdates f\u00fcr Windows vom 10. Januar 2023 geschlossen.<\/p>\n

Details zu LocalPotato<\/h2>\n

Nun hat Antonio Cocomazzi in nachfolgendem Tweet<\/a> auf den Artikel mit weiteren Details<\/a> zu dieser Schwachstelle hingewiesen.<\/p>\n

\"LocalPotato<\/a><\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>RemotePotato0: Privilege Escalation-Schwachstelle im Windows RPC Protocol<\/a>
\n0patch fixt RemotePotato0-Schwachstelle in Windows<\/a>
\nMicrosoft fixt (PetitPotam) NTLM Relay-Schwachstelle (CVE-2022-26925) mit Windows Mai 2022-Update<\/a>
\nPetitPotam-Angriff erlaubt Windows Domain-\u00dcbernahme<\/a>
\nMicrosofts Workaround gegen Windows PetitPotam NTLM-Relay-Angriffe<\/a>
\nPetitPotam-Angriffe auf Windows durch RPC-Filter blocken<\/a>
\n0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)<\/a>
\n2. 0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)<\/a>
\nWindows-Schwachstelle CVE-2021-36942 (Petitpotam) und DCOM-H\u00e4rtung<\/a><\/p>\n

Microsoft Security Update Summary (10. Januar 2023)<\/a>
\nPatchday: Windows 10-Updates (10. Januar 2023)<\/a>
\nPatchday: Windows 11\/Server 2022-Updates (10. Januar 2023)<\/a>
\nWindows 7\/Server 2008 R2; Windows 8.1\/Server 2012 R2: Updates (10. Januar 2023)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Im April 2021 hatten Sicherheitsforscher eine Privilege Escalation Schwachstelle im Windows RPC-Protokoll entdeckt, der eine lokale Privilegienerweiterung durch NTLM-Relay-Angriffe erm\u00f6glichte. Nun scheint ein Sicherheitsforscher auf eine nicht so bekannte M\u00f6glichkeit zur Durchf\u00fchrung von NTLM Reflection-Angriffen gesto\u00dfen zu sein, die er … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-276862","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276862","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=276862"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/276862\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=276862"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=276862"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=276862"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}