I ricercatori di sicurezza di SentinelOne hanno scoperto che tutte le versioni di Windows maggiormente diffuse e usate sono vulnerabili ad una falla 0-Day che è stata denominata RemotePotato0 e che consente ad un eventuale aggressore di scalare il proprio livello di acceso sino ad ottenere i permessi di amministratore del dominio.
RemotePotato0: la falla 0-Day basata su un attacco NTLM relay
Più precisamente, la falla è basata su un attacco NTLM relay, che permette a chi lo sferra di abilitare chiamate autenticate via RPC/DCOM. Inoltrando l’autenticazione NTLM mediante altri protocolli si possono ottenere permessi elevati sul dominio preso di mira, diventando quindi gli stessi amministratori del dominio.
La falla non ha un fix ufficiale e a quanto pare è stata la stessa Microsoft ad essersi rifiutata di offrirlo. Il motivo sarebbe da ricercare nel fatto che NTLM è un protocollo di autenticazione ormai obsoleto che ha come successore Kerberos. In virtù di ciò, piuttosto che fornire un correttivo l’azienda di Redmond avrebbe consigliato di disabilitare NTLM o configurare i server Windows affinché blocchino in autonomia gli attacchi NTLM relay.
La situazione è comunque risolvibile rivolgendosi a terze parti, installando 0patch Agent, una piattaforma pensata proprio per risolvere i problemi su software e servizi non più supportati, che offre pure una patch per RemotePotato0 per tutte le versioni di Windows.
Mitja Kolsek, il cofondatore di 0-patch, ha descritto l’attacco come riportato di seguito.
Consente a un utente malintenzionato connesso con privilegi limitati di avviare una delle numerose applicazioni malevoli nella sessione di qualsiasi altro utente che è connesso allo stesso computer nello stesso momento e fare in modo che l’applicazione invii l’hash NTLM dell’utente a un indirizzo IP scelto dall’aggressore. Intercettando un hash NTLM da un amministratore di dominio, l’attaccante può creare la propria richiesta per il controller di dominio fingendo di essere quell’amministratore ed eseguire alcune azioni amministrative come aggiungersi al gruppo Domain Administrators.