Falla 0-day ‘RemotePotato0’ su Windows: cos’è e come risolvere temporaneamente
Tutte le versioni di Windows più utilizzate sono vulnerabili a una falla 0-day nota come RemotePotato0, che permette ad un eventuale aggressore di scalare il proprio livello di accesso fino ad ottenere i permessi di amministratore del dominio.
Scoperta dai ricercatori di SentinelOne Antonio Cocomazzi e Andrea Pierini lo scorso mese di aprile, il bug non ha ancora un fix ufficiale (secondo BleepingComputer la stessa Microsoft si è rifiutata di offrirlo). Sono disponibili, però, diverse patch non ufficiali che risolvono RemotePotato0.
RemotePotato0 ha finalmente un fix (anche se non ufficiale)
La falla si basa su un attacco NTLM relay, che consente a chi effetua l’attacco di attivare chiamate autenticate via RPC/DCOM. Inoltrando l’autenticazione NTLM attraverso altri protocolli è possibile ottenere permessi elevati sul dominio preso di mira, diventando in sostanza gli stessi amministratori del dominio.
Il cofondatore di 0-patch Mitja Kolsek ha descritto l’attacco così, sul blog ufficiale:
“[La falla] consente a un utente malintenzionato connesso con privilegi limitati di avviare una delle numerose applicazioni malevoli nella sessione di qualsiasi altro utente che è connesso allo stesso computer nello stesso momento e fare in modo che l’applicazione invii l’hash NTLM dell’utente a un indirizzo IP scelto dall’aggressore. Intercettando un hash NTLM da un amministratore di dominio, l’attaccante può creare la propria richiesta per il controller di dominio fingendo di essere quell’amministratore ed eseguire alcune azioni amministrative come aggiungersi al gruppo Domain Administrators”.
NTLM (Windows NT LAN Manager) è un vecchio protocollo di autenticazione, che ha come successore Kerberos. Si tratta tuttavia di un sistema comunemente utilizzato, nonostante sia obsoleto: proprio per questo Microsoft potrebbe essersi rifiutata di sviluppare una patch per risolvere RemotePotato0, consigliando invece di disabilitare NTLM o configurare i server Windows affinché blocchino in autonomia gli attacchi NTLM relay. La decisione, benché giustificabile, è rischiosa perché si tratta di un exploit che non richiede l’interazione della vittima.
Come risolverla, allora, se non si vuole rinunciare a NTLM? L’unica, in attesa di un responso diverso da parte dell’azienda di Redmond, è creare un account 0patch e installare 0patch Agent, una piattaforma pensata proprio per risolvere i problemi su software e servizi non più supportati. La 0patch per RemotePotato0 è disponibile per tutte le versioni di Windows da Windows 7 a Windows 10, e anche da Windows Server 2008 fino a Windows Server 2019.
Idee regalo,
perché perdere tempo e rischiare di sbagliare?
REGALA
UN BUONO AMAZON!
Fonte: http://feeds.hwupgrade.it/