Une vulnérabilité d'élévation de privilèges locale (LPE) dans Windows a été signalée à Microsoft le 9 septembre 2022 par Andrea Pierini (@decoder_it) et Antonio Cocomazzi (@splinter_code). Cette vulnérabilité permettrait à un attaquant disposant d'un compte à faible privilège sur un hôte de lire/écrire des fichiers arbitraires avec les privilèges SYSTEM.
Microsoft a publié un correctif pour la vulnérabilité dans le correctif de janvier 2023 mardi, ainsi qu'une preuve de concept fonctionnelle (PoC) a ensuite été publié le 10 février 2023. La vulnérabilité a été attribuée à CVE-2023-21746.
Bien que la vulnérabilité en elle-même ne permette pas directement d'exécuter des commandes en tant que SYSTEM, nous pouvons la combiner avec plusieurs vecteurs pour obtenir ce résultat. Heureusement, le 13 février, une autre escalade de privilèges PoC a été publié par FlècheNoireSec qui abuse du service StorSvc, permettant à un attaquant d'exécuter du code en tant que SYSTEM tant qu'il peut écrire un DLL fichier dans n’importe quel répertoire du PATH.
Nous avons couvert l'exploitation de LocalPotato (CVE-2023-21746) en plus des méthodes de détection et d'analyse dans le cadre de Salle TryHackMe LocalPotato.
Obtenez les notes de l'équipe bleue
La pomme de terre locale PoC profite d'une faille dans un cas particulier d'authentification NTLM appelé authentification locale NTLM pour tromper un processus privilégié afin qu'il authentifie une session que l'attaquant démarre sur le serveur SMB local. En conséquence, l'attaquant finit par disposer d'une connexion qui lui donne accès à tous les partages avec les privilèges du processus trompé, y compris les partages spéciaux comme C$ ou ADMIN$.
Le processus suivi par l'exploit est le suivant :
- L'attaquant va déclencher un processus privilégié pour se connecter à un serveur malveillant sous son contrôle. Cela fonctionne de la même manière que les précédents exploits Potato, où un utilisateur non privilégié peut forcer le système d'exploitation à créer des connexions utilisant un utilisateur privilégié (généralement SYSTEM).
- Le serveur malveillant instanciera un Contexte de sécurité A pour la connexion privilégiée mais ne la renverra pas immédiatement. Au lieu de cela, l'attaquant lancera un client malveillant qui initiera simultanément une connexion avec le réseau local. PME Serveur (partage de fichiers Windows) avec ses informations d'identification non privilégiées actuelles. Le client enverra le message Type1 pour initier la connexion, et le serveur répondra en envoyant un message Type2 avec l'ID d'un nouveau Contexte de sécurité B.
- L'attaquant échangera les ID de contexte des deux connexions afin que le processus privilégié reçoive le contexte du PME connexion au serveur au lieu de la sienne. De ce fait, le client Privilégié associera son utilisateur (SYSTEM) à Contexte de sécurité B de la PME connexion créée par l’attaquant. En conséquence, le client de l'attaquant peut désormais accéder à n'importe quel partage réseau avec les privilèges SYSTEM !
En ayant une connexion privilégiée avec PME partages, l’attaquant peut lire ou écrire des fichiers sur la machine cible depuis n’importe quel emplacement. Bien que cela ne nous permette pas d'exécuter des commandes directement sur la machine vulnérable, nous combinerons cela avec un vecteur d'attaque différent pour atteindre cet objectif.
Notez que la vulnérabilité est dans le NTLM protocole plutôt que le serveur SMB, ce même vecteur d'attaque pourrait donc théoriquement être utilisé contre tout service qui exploite l'authentification via NTLM. En pratique, cependant, certaines mises en garde doivent être prises en compte lors de la sélection du protocole à attaquer. Le PoC utilise le serveur SMB pour éviter certaines protections supplémentaires en place pour d'autres protocoles contre des vecteurs d'attaque similaires et implémente même un contournement rapide pour que l'exploit fonctionne contre le serveur SMB.
Réponses de la salle
C:\users\administrator\desktop\flag.txt?Vidéo pas à pas
