RemotePotato0, ecco la nuova falla 0-Day su Windows
Topic
Approfondimenti
Trending
tutti

RemotePotato0, ecco la nuova falla 0-Day su Windows

I ricercatori di SentinelOne hanno scovato una nova falla 0-Day su Windows chiamata RemotePotato0, si basa su un attacco NTLM relay.
RemotePotato0, ecco la nuova falla 0-Day su Windows
Informatica Sistemi operativi
I ricercatori di SentinelOne hanno scovato una nova falla 0-Day su Windows chiamata RemotePotato0, si basa su un attacco NTLM relay.
Pixabay

I ricercatori di sicurezza di SentinelOne hanno scoperto che tutte le versioni di Windows maggiormente diffuse e usate sono vulnerabili ad una falla 0-Day che è stata denominata RemotePotato0 e che consente ad un eventuale aggressore di scalare il proprio livello di acceso sino ad ottenere i permessi di amministratore del dominio.

RemotePotato0: la falla 0-Day basata su un attacco NTLM relay

Più precisamente, la falla è basata su un attacco NTLM relay, che permette a chi lo sferra di abilitare chiamate autenticate via RPC/DCOM. Inoltrando l’autenticazione NTLM mediante altri protocolli si possono ottenere permessi elevati sul dominio preso di mira, diventando quindi gli stessi amministratori del dominio.

La falla non ha un fix ufficiale e a quanto pare è stata la stessa Microsoft ad essersi rifiutata di offrirlo. Il motivo sarebbe da ricercare nel fatto che NTLM è un protocollo di autenticazione ormai obsoleto che ha come successore Kerberos. In virtù di ciò, piuttosto che fornire un correttivo l’azienda di Redmond avrebbe consigliato di disabilitare NTLM o configurare i server Windows affinché blocchino in autonomia gli attacchi NTLM relay.

La situazione è comunque risolvibile rivolgendosi a terze parti, installando 0patch Agent, una piattaforma pensata proprio per risolvere i problemi su software e servizi non più supportati, che offre pure una patch per RemotePotato0 per tutte le versioni di Windows.

Mitja Kolsek, il cofondatore di 0-patch, ha descritto l’attacco come riportato di seguito.

Consente a un utente malintenzionato connesso con privilegi limitati di avviare una delle numerose applicazioni malevoli nella sessione di qualsiasi altro utente che è connesso allo stesso computer nello stesso momento e fare in modo che l’applicazione invii l’hash NTLM dell’utente a un indirizzo IP scelto dall’aggressore. Intercettando un hash NTLM da un amministratore di dominio, l’attaccante può creare la propria richiesta per il controller di dominio fingendo di essere quell’amministratore ed eseguire alcune azioni amministrative come aggiungersi al gruppo Domain Administrators.

Fonte: Neowin

Pubblicato il 14 gen 2022

Link copiato negli appunti

Ti potrebbe interessare

Vendita o ban di TikTok negli USA: procedura accelerata

Vendita o ban di TikTok negli USA: procedura accelerata
Microsoft Edge: novità IA su desktop e iOS

Microsoft Edge: novità IA su desktop e iOS
TIM Wi-Fi Power Smart a 27,90€ al mese: l'ultima offerta per la fibra di TIM

TIM Wi-Fi Power Smart a 27,90€ al mese: l'ultima offerta per la fibra di TIM
Windows 11 24H2: AI Explorer solo su PC ARM?

Windows 11 24H2: AI Explorer solo su PC ARM?
Vendita o ban di TikTok negli USA: procedura accelerata

Vendita o ban di TikTok negli USA: procedura accelerata
Microsoft Edge: novità IA su desktop e iOS

Microsoft Edge: novità IA su desktop e iOS
TIM Wi-Fi Power Smart a 27,90€ al mese: l'ultima offerta per la fibra di TIM

TIM Wi-Fi Power Smart a 27,90€ al mese: l'ultima offerta per la fibra di TIM
Windows 11 24H2: AI Explorer solo su PC ARM?

Windows 11 24H2: AI Explorer solo su PC ARM?
Martina Oliva
Pubblicato il
14 gen 2022
Link copiato negli appunti