تم الإبلاغ عن ثغرة أمنية لتصعيد الامتياز المحلي (LPE) في Windows إلى Microsoft في 9 سبتمبر 2022 بواسطة أندريا بيريني (@decoder_it) وأنطونيو كوكومازي (@splinter_code). ستسمح الثغرة الأمنية للمهاجم الذي لديه حساب منخفض الامتيازات على المضيف بقراءة/كتابة ملفات عشوائية تتمتع بامتيازات النظام.

أصدرت Microsoft إصلاحًا للثغرة الأمنية في تصحيح يناير 2023 يوم الثلاثاء، وإثباتًا عمليًا للمفهوم (إثبات المفهوم) تم إصداره لاحقًا في 10 فبراير 2023. وتم تعيين الثغرة الأمنية CVE-2023-21746.

على الرغم من أن الثغرة الأمنية في حد ذاتها لا تسمح بشكل مباشر بتنفيذ الأوامر مثل SYSTEM، إلا أنه يمكننا دمجها مع عدة نواقل لتحقيق هذه النتيجة. ومن الملائم، في 13 فبراير، تصعيد آخر للامتياز إثبات المفهوم تم نشره بواسطة بلاك آرو سيك يسيء استخدام خدمة StorSvc، مما يسمح للمهاجم بتنفيذ التعليمات البرمجية كـ SYSTEM طالما أنه يمكنه كتابة DLL ملف إلى أي دليل في PATH.

قمنا بتغطية استغلال LocalPotato (CVE-2023-21746) بالإضافة إلى طرق الكشف والتحليل كجزء من غرفة TryHackMe LocalPotato.

احصل على ملاحظات الفريق الأزرق

البطاطس المحلية إثبات المفهوم يستفيد من ثغرة في حالة خاصة من مصادقة NTLM تسمى مصادقة NTLM المحلية لخداع عملية مميزة لمصادقة جلسة يبدأها المهاجم على خادم SMB المحلي. ونتيجة لذلك، ينتهي الأمر بالمهاجم أن يكون لديه اتصال يمنحه الوصول إلى أي مشاركات تتمتع بامتيازات العملية الخادعة، بما في ذلك المشاركات الخاصة مثل C$ أو ADMIN$.

العملية التي يتبعها الاستغلال هي كما يلي:

  1. سيقوم المهاجم بتشغيل عملية مميزة للاتصال بخادم مارق تحت سيطرته. يعمل هذا بشكل مشابه لبرامج استغلال البطاطس السابقة، حيث يمكن لمستخدم لا يتمتع بالامتيازات إجبار نظام التشغيل على إنشاء اتصالات تستخدم مستخدمًا متميزًا (عادةً النظام).
  2. سيقوم الخادم المارق بإنشاء مثيل لـ السياق الأمني أ للاتصال المميز ولكن لن يتم إرساله مرة أخرى على الفور. وبدلاً من ذلك، سيقوم المهاجم بإطلاق عميل مارق يقوم في نفس الوقت ببدء اتصال ضد العميل المحلي الشركات الصغيرة والمتوسطة الخادم (مشاركة ملفات Windows) ببيانات اعتماده الحالية غير المميزة. سيرسل العميل رسالة Type1 لبدء الاتصال، وسيرد الخادم عن طريق إرسال رسالة Type2 بمعرف جديد السياق الأمني ب.
  3. سيقوم المهاجم بتبديل معرفات السياق من كلا الاتصالين بحيث تتلقى العملية المميزة سياق الشركات الصغيرة والمتوسطة اتصال الخادم بدلا من الاتصال الخاص به. ونتيجة لذلك، سيقوم العميل المميز بربط المستخدم (SYSTEM) به السياق الأمني ب التابع الشركات الصغيرة والمتوسطة الاتصال الذي أنشأه المهاجم. ونتيجة لذلك، يمكن الآن لعميل المهاجم الوصول إلى أي مشاركة على الشبكة بامتيازات النظام!

من خلال وجود اتصال مميز ل الشركات الصغيرة والمتوسطة المشاركات، يستطيع المهاجم قراءة الملفات أو كتابتها على الجهاز المستهدف في أي مكان. على الرغم من أن هذا لن يسمح لنا بتشغيل الأوامر مباشرة على الجهاز الضعيف، إلا أننا سندمج هذا مع ناقل هجوم مختلف لتحقيق هذه الغاية.

لاحظ أن الثغرة الأمنية موجودة في NTLM بدلاً من خادم SMB، لذلك يمكن استخدام ناقل الهجوم نفسه نظريًا ضد أي خدمة تعمل على تعزيز المصادقة من خلال NTLM. ومع ذلك، من الناحية العملية، يجب التعامل مع بعض التحذيرات عند اختيار البروتوكول للهجوم. ال إثبات المفهوم يستخدم خادم SMB لتجنب بعض وسائل الحماية الإضافية المطبقة على البروتوكولات الأخرى ضد ناقلات الهجوم المماثلة، بل وينفذ تجاوزًا سريعًا لجعل الاستغلال يعمل ضد خادم SMB.

إجابات الغرفة

ارفع امتيازاتك على النظام لتحصل على وحدة تحكم إدارية. ما هي قيمة العلم في C:\المستخدمين\المسؤول\سطح المكتب\flag.txt?

تجول الفيديو

, , , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات