首页保安Windows:零日“RemotePotato0”收到非官方更新

Windows:零日“RemotePotato0”收到非官方更新

漏洞 影响所有版本的扩展权限 Windows 并且可能允许恶意代理通过 NTLM 重传攻击获得管理员权限,已收到非官方补丁。

远程土豆0

另见: 微软:修复了 Windows HTTP 漏洞

该漏洞名为 RemotePotato0,由其研究人员发现 哨兵实验室, 安东尼奥·科科马齐 和他 安德烈亚·皮耶里尼,于 2021 年 XNUMX 月披露。

它允许入侵者启用经过身份验证的 RPC / DCOM 调用并将 NTLM 身份验证重新传输到其他协议,从而允许他们增加域管理员权限,可能会完全破坏域。

«允许低级别攻击者登录,在同时登录同一计算机的任何其他用户的会话中启动众多特殊用途应用程序之一,并强制该应用程序向该用户发送 NTLM 哈希攻击者选择的 IP 地址”,解释了 0patch 的联合创始人, 米贾·科尔塞克,在一篇博文中。

入侵者必须在攻击时诱骗具有管理员权限的家庭用户登录才能成功利用。

然而,正如 Kolsek 所说,这在 Windows Server 系统上要容易得多,因为包括管理员在内的许多用户同时登录,因此消除了社会工程学要求。

另见: 漏洞允许攻击者控制药物输送泵

Windows NT(新技术)LAN Manager (NTLM) 身份验证协议用于对远程用户进行身份验证,并在应用程序协议请求时提供会话安全性。

零日

Kerberos 已取代 NTLM,它是所有 Windows 2000 及更高版本的域连接设备的当前默认身份验证协议。

尽管如此,NTLM 仍然在 Windows 服务器上使用,允许攻击者利用 RemotePotato0 等旨在绕过缓解 NTLM 重传攻击的漏洞。

微软告诉研究人员,Windows 管理员应该禁用 NTLM 或配置他们的服务器以使用 Active Directory 认证服务 (AD CS) 阻止 NTLM 重传攻击。

在 Microsoft 决定发布针对此漏洞的安全更新之前,micropatching 0patch 已经发布了称为 micropatches 的免费非官方补丁。

0patch 使用 Cocomazzi 和 Pierini 在其 2021 年 XNUMX 月的报告中共享的信息开发了修复程序。

另见: 0修补程序:支持终止后对Windows 7和Server 2008 R2的更新

RemotePotato0 的非官方补丁适用于从 Windows 7 到最新版本的 Windows 10 以及从 Windows Server 2008 到 Windows Server 2019 的所有 Windows 版本。

要在您的系统上安装 micropatch,您必须首先创建一个 0patch 帐户,然后安装 0patch 代理。

代理启动后,微补丁将自动运行而无需重新启动,除非您启用了自定义补丁来阻止它。

没有米娅https://www.secnews.gr
在一个不断尝试改变你的世界里,做你自己,是你最大的成就
现货图片

实时新闻