Eine Schwachstelle bei der lokalen Rechteausweitung (LPE) in Windows wurde Microsoft am 9. September 2022 von Andrea Pierini gemeldet (@decoder_it) und Antonio Cocomazzi (@Splinter_code). Die Sicherheitslücke würde es einem Angreifer mit einem Konto mit geringen Berechtigungen auf einem Host ermöglichen, beliebige Dateien mit SYSTEM-Berechtigungen zu lesen/schreiben.
Microsoft hat am Dienstag im Januar 2023 einen Fix für die Schwachstelle veröffentlicht und einen funktionierenden Proof-of-Concept (PoC) wurde später am 10. Februar 2023 veröffentlicht. Der Schwachstelle wurde die Nummer CVE-2023-21746 zugewiesen.
Obwohl die Sicherheitslücke an sich nicht direkt die Ausführung von Befehlen als SYSTEM ermöglicht, können wir sie mit mehreren Vektoren kombinieren, um dieses Ergebnis zu erreichen. Praktischerweise kam es am 13. Februar zu einer weiteren Privilegienausweitung PoC wurde veröffentlicht von BlackArrowSec das den StorSvc-Dienst missbraucht und es einem Angreifer ermöglicht, Code als SYSTEM auszuführen, solange er einen DLL Datei in ein beliebiges Verzeichnis im PATH.
Wir haben die Ausnutzung von LocalPotato (CVE-2023-21746) sowie Methoden zur Erkennung und Analyse im Rahmen von TryHackMe LocalPotato-Raum.
Holen Sie sich Blue Team Notes
Die LokaleKartoffel PoC nutzt einen Fehler in einem speziellen Fall der NTLM-Authentifizierung, der sogenannten lokalen NTLM-Authentifizierung, um einen privilegierten Prozess dazu zu bringen, eine Sitzung zu authentifizieren, die der Angreifer mit dem lokalen SMB-Server startet. Dadurch erhält der Angreifer eine Verbindung, die ihm Zugriff auf alle Freigaben mit den Berechtigungen des getäuschten Prozesses gewährt, einschließlich spezieller Freigaben wie C$ oder ADMIN$.
Der Exploit folgt dem folgenden Prozess:
- Der Angreifer löst einen privilegierten Prozess aus, um eine Verbindung zu einem von ihm kontrollierten Schurkenserver herzustellen. Dies funktioniert ähnlich wie frühere Potato-Exploits, bei denen ein nicht privilegierter Benutzer das Betriebssystem dazu zwingen kann, Verbindungen herzustellen, die einen privilegierten Benutzer (normalerweise SYSTEM) verwenden.
- Der Rogue-Server instantiiert einen Sicherheitskontext A für die privilegierte Verbindung, sendet sie aber nicht sofort zurück. Stattdessen startet der Angreifer einen Rogue-Client, der gleichzeitig eine Verbindung gegen den lokalen KMU Server (Windows File Sharing) mit seinen aktuellen unprivilegierten Anmeldeinformationen. Der Client sendet die Type1-Nachricht, um die Verbindung zu initiieren, und der Server antwortet, indem er eine Type2-Nachricht mit der ID für eine neue Sicherheitskontext B.
- Der Angreifer vertauscht die Kontext-IDs beider Verbindungen, so dass der privilegierte Prozess den Kontext der KMU Serververbindung statt seiner eigenen. Als Ergebnis verknüpft der privilegierte Client seinen Benutzer (SYSTEM) mit Sicherheitskontext B des KMU vom Angreifer erstellte Verbindung. Dadurch kann der Client des Angreifers nun mit SYSTEM-Berechtigungen auf jede Netzwerkfreigabe zugreifen!
Durch eine privilegierte Verbindung zu KMU Freigaben können vom Angreifer an jedem beliebigen Ort Dateien auf dem Zielcomputer lesen oder schreiben. Dies erlaubt uns zwar nicht, Befehle direkt auf dem anfälligen Computer auszuführen, wir werden dies jedoch mit einem anderen Angriffsvektor kombinieren, um dieses Ziel zu erreichen.
Beachten Sie, dass die Sicherheitslücke in der NTLM Protokoll und nicht der SMB-Server, sodass dieser gleiche Angriffsvektor theoretisch gegen jeden Dienst verwendet werden könnte, der die Authentifizierung über NTLM nutzt. In der Praxis müssen jedoch bei der Auswahl des anzugreifenden Protokolls einige Vorbehalte berücksichtigt werden. Das PoC verwendet den SMB-Server, um einige zusätzliche Schutzmechanismen zu umgehen, die für andere Protokolle gegen ähnliche Angriffsmethoden vorhanden sind, und implementiert sogar einen schnellen Bypass, damit der Exploit gegen den SMB-Server funktioniert.
Raumantworten
C:\Benutzer\Administrator\Desktop\flag.txt?Video-Komplettlösung
