Andrea Pierini (@decodificador_it) y Antonio Cocomazzi (@splinter_code). La vulnerabilidad permitiría a un atacante con una cuenta con pocos privilegios en un host leer/escribir archivos arbitrarios con privilegios de SISTEMA.
Microsoft lanzó una solución para la vulnerabilidad en el parche de enero de 2023 el martes y una prueba de concepto funcional (prueba de concepto) se publicó posteriormente el 10 de febrero de 2023. A la vulnerabilidad se le asignó CVE-2023-21746.
Si bien la vulnerabilidad en sí misma no permitiría ejecutar comandos directamente como SISTEMA, podemos combinarla con varios vectores para lograr este resultado. Convenientemente, el 13 de febrero se producirá otra escalada de privilegios. prueba de concepto fue publicado por Flecha NegraSec que abusa del servicio StorSvc, permitiendo a un atacante ejecutar código como SISTEMA siempre que pueda escribir un DLL archivo a cualquier directorio en la RUTA.
Cubrimos la explotación de LocalPotato (CVE-2023-21746) además de los métodos de detección y análisis como parte de TryHackMe LocalSala de patatas.
La Patata Local prueba de concepto aprovecha una falla en un caso especial de autenticación NTLM llamado autenticación local NTLM para engañar a un proceso privilegiado para que autentique una sesión que el atacante inicia en el servidor SMB local. Como resultado, el atacante termina teniendo una conexión que le otorga acceso a cualquier recurso compartido con los privilegios del proceso engañado, incluidos recursos compartidos especiales como C$ o ADMIN$.
El proceso que sigue el exploit es el siguiente:
- El atacante activará un proceso privilegiado para conectarse a un servidor fraudulento bajo su control. Esto funciona de manera similar a los exploits anteriores de Potato, donde un usuario sin privilegios puede forzar al sistema operativo a crear conexiones que utilicen un usuario privilegiado (normalmente SISTEMA).
- El servidor fraudulento creará una instancia de un Contexto de seguridad A para la conexión privilegiada pero no la devolverá inmediatamente. En lugar de ello, el atacante lanzará un cliente fraudulento que simultáneamente inicia una conexión contra el servidor local. PYME Servidor (Compartir archivos de Windows) con sus credenciales actuales sin privilegios. El cliente enviará el mensaje Tipo1 para iniciar la conexión y el servidor responderá enviando un mensaje Tipo2 con el ID de una nueva Contexto de seguridad B.
- El atacante intercambiará los ID de contexto de ambas conexiones para que el proceso privilegiado reciba el contexto de la PYME conexión del servidor en lugar de la suya propia. Como resultado, el cliente Privilegiado asociará su usuario (SISTEMA) con Contexto de seguridad B del PYME conexión creada por el atacante. Como resultado, el cliente del atacante ahora puede acceder a cualquier recurso compartido de red con privilegios de SISTEMA.
Al tener una conexión privilegiada con PYME comparte, el atacante puede leer o escribir archivos en la máquina de destino en cualquier ubicación. Si bien esto no nos permitirá ejecutar comandos directamente contra la máquina vulnerable, lo combinaremos con un vector de ataque diferente para lograr ese fin.
Tenga en cuenta que la vulnerabilidad está en el NTLM protocolo en lugar del servidor SMB, por lo que este mismo vector de ataque podría usarse teóricamente contra cualquier servicio que aproveche la autenticación a través de NTLM. En la práctica, sin embargo, se deben tener en cuenta algunas advertencias al seleccionar el protocolo de ataque. El prueba de concepto utiliza el servidor SMB para evitar algunas protecciones adicionales implementadas para otros protocolos contra vectores de ataque similares e incluso implementa una derivación rápida para que el exploit funcione contra el servidor SMB.
Respuestas de la habitación
C:\usuarios\administrador\desktop\flag.txt?Tutorial en vídeo
