Una vulnerabilità di escalation dei privilegi locali (LPE) in Windows è stata segnalata a Microsoft il 9 settembre 2022 da Andrea Pierini (@decoder_it) e Antonio Cocomazzi (@splinter_code). La vulnerabilità consentirebbe a un utente malintenzionato con un account con privilegi limitati su un host di leggere/scrivere file arbitrari con privilegi SYSTEM.
Microsoft ha rilasciato martedì una correzione per la vulnerabilità nella patch di gennaio 2023 e una prova di concetto funzionante (PoC) è stato successivamente rilasciato il 10 febbraio 2023. Alla vulnerabilità è stato assegnato CVE-2023-21746.
Anche se la vulnerabilità in sé non consentirebbe direttamente l'esecuzione di comandi come SYSTEM, possiamo combinarla con diversi vettori per ottenere questo risultato. Convenientemente, il 13 febbraio, un’altra escalation di privilegi PoC è stato pubblicato da Freccia NeraSec che abusa del servizio StorSvc, consentendo a un utente malintenzionato di eseguire codice come SYSTEM purché possa scrivere un file DLL file in qualsiasi directory nel PERCORSO.
Abbiamo coperto lo sfruttamento di LocalPotato (CVE-2023-21746) oltre ai metodi di rilevamento e analisi come parte di ProvaHackMe LocalPotato room.
La patata locale PoC sfrutta un difetto in un caso speciale di autenticazione NTLM chiamato autenticazione locale NTLM per ingannare un processo privilegiato facendogli autenticare una sessione avviata dall'aggressore contro il server SMB locale. Di conseguenza, l'aggressore finisce per avere una connessione che gli garantisce l'accesso a qualsiasi condivisione con i privilegi del processo ingannato, comprese condivisioni speciali come C$ O AMMIN$.
Il processo seguito dall'exploit è il seguente:
- L'aggressore attiverà un processo privilegiato per connettersi a un server canaglia sotto il suo controllo. Funziona in modo simile ai precedenti exploit Potato, in cui un utente non privilegiato può forzare il sistema operativo a creare connessioni che utilizzano un utente privilegiato (solitamente SYSTEM).
- Il server canaglia creerà un'istanza di a Contesto di sicurezza A per la connessione privilegiata ma non lo rispedirà immediatamente. Invece, l'aggressore lancerà un client canaglia che contemporaneamente avvia una connessione contro il locale PMI Server (Condivisione file Windows) con le credenziali attuali non privilegiate. Il client invierà il messaggio Type1 per avviare la connessione e il server risponderà inviando un messaggio Type2 con l'ID per una nuova Contesto di sicurezza B.
- L'aggressore scambierà gli ID di contesto da entrambe le connessioni in modo che il processo privilegiato riceva il contesto del file PMI connessione al server anziché la propria. Di conseguenza, il client privilegiato assocerà il suo utente (SYSTEM) a Contesto di sicurezza B del PMI connessione creata dall'aggressore. Di conseguenza, il client dell'aggressore può ora accedere a qualsiasi condivisione di rete con privilegi di SISTEMA!
Avendo una connessione privilegiata con PMI condivisioni, l'aggressore può leggere o scrivere file sul computer di destinazione in qualsiasi posizione. Anche se questo non ci consentirà di eseguire comandi direttamente contro la macchina vulnerabile, lo combineremo con un diverso vettore di attacco per raggiungere tale scopo.
Tieni presente che la vulnerabilità è nel file NTLM protocollo anziché il server SMB, quindi questo stesso vettore di attacco potrebbe essere teoricamente utilizzato contro qualsiasi servizio che sfrutta l'autenticazione tramite NTLM. In pratica, tuttavia, è necessario tenere conto di alcune avvertenze quando si seleziona il protocollo da attaccare. IL PoC utilizza il server SMB per evitare alcune protezioni aggiuntive in atto per altri protocolli contro vettori di attacco simili e implementa persino un rapido bypass per far funzionare l'exploit contro il server SMB.
Risposte in camera
C:\utenti\amministratore\desktop\flag.txt?Videoprocedura dettagliata
