Для уязвимости нулевого дня RemotePotato0 в Windows вышел неофициальный патч
Опубликовал: FIELD LINE, 15-01-2022, 00:09, Железо, 117, 0
Уязвимость нулевого дня RemotePotato0, которая затрагивает все актуальные версии операционной системы Windows и может использоваться злоумышленниками для повышения уровня привилегий в системе, получила неофициальное исправление. Это не первый неофициальный патч для решения упомянутой проблемы, но исправление от Microsoft, похоже, так и не увидит свет.
Согласно имеющимся данным, уязвимость RemotePotato0 впервые обнаружили специалисты по информационной безопасности Антонио Кокомацци (Antonio Cocomazzi) и Андреа Пьерини (Andrea Pierini). Они уведомили Microsoft о своей находке в апреле 2021 года. Хотя софтверный гигант признал наличие проблемы, уязвимость не получила идентификатор CVE и, похоже, Microsoft не планирует её исправлять.
«Уязвимость позволяет злоумышленнику с низким уровнем привилегий, авторизованному в системе, запускать одно из нескольких приложений специального назначения в сеансе другого пользователя, который также авторизован в системе. За счёт этого он может отправить хэш NTLM указанного пользователя на устройство с произвольным IP-адресом. Перехватив хэш NTLM администратора домена, злоумышленник может сформировать запрос к контроллеру домена, выдавая себя за администратора для повышения привилегий или выполнения других действий», — прокомментировал данный вопрос один из участников проекта 0patch Митя Колсек (Mitja Kolsek).
Источник отмечает, что хоть протокол NTLM (Windows NT LAN Manager) устарел, он всё ещё используется на серверах Windows. Вероятно, именно из-за того, что протокол устарел, Microsoft не планирует исправлять уязвимость RemotePotato0. Вместо этого софтверный гигант рекомендовал отказаться от использования NTLM или настроить серверы таким образом, чтобы исключить возможность проведения атаки с использованием уязвимости RemotePotato0.
Источник
Согласно имеющимся данным, уязвимость RemotePotato0 впервые обнаружили специалисты по информационной безопасности Антонио Кокомацци (Antonio Cocomazzi) и Андреа Пьерини (Andrea Pierini). Они уведомили Microsoft о своей находке в апреле 2021 года. Хотя софтверный гигант признал наличие проблемы, уязвимость не получила идентификатор CVE и, похоже, Microsoft не планирует её исправлять.
«Уязвимость позволяет злоумышленнику с низким уровнем привилегий, авторизованному в системе, запускать одно из нескольких приложений специального назначения в сеансе другого пользователя, который также авторизован в системе. За счёт этого он может отправить хэш NTLM указанного пользователя на устройство с произвольным IP-адресом. Перехватив хэш NTLM администратора домена, злоумышленник может сформировать запрос к контроллеру домена, выдавая себя за администратора для повышения привилегий или выполнения других действий», — прокомментировал данный вопрос один из участников проекта 0patch Митя Колсек (Mitja Kolsek).
Источник отмечает, что хоть протокол NTLM (Windows NT LAN Manager) устарел, он всё ещё используется на серверах Windows. Вероятно, именно из-за того, что протокол устарел, Microsoft не планирует исправлять уязвимость RemotePotato0. Вместо этого софтверный гигант рекомендовал отказаться от использования NTLM или настроить серверы таким образом, чтобы исключить возможность проведения атаки с использованием уязвимости RemotePotato0.
Источник
