Une vulnérabilité d’escalade de privilèges affectant toutes les versions de Windows qui peut permettre aux acteurs de la menace d’obtenir des privilèges d’administrateur de domaine via une attaque par relais NTLM a reçu des correctifs non officiels après que Microsoft l’a marquée comme « ne corrigera pas ».
La vulnérabilité, chercheurs surnommés RemotePotato0 Sentinel LABS Antonio Cocomazzi et Andrea Pierini, qui l’ont trouvé et divulgué en avril 2021, est une faille zero-day (selon La propre définition de Microsoft) qui n’a pas encore reçu d’ID CVE après que Redmond a refusé de publier un correctif.
Il permet aux attaquants de déclencher des appels RPC/DCOM authentifiés et de relayer l’authentification NTLM vers d’autres protocoles, ce qui leur permet d’élever les privilèges d’administrateur de domaine, permettant probablement une compromission totale du domaine.
« Il permet à un attaquant connecté à faible privilège de lancer l’une des nombreuses applications à usage spécial dans la session de tout autre utilisateur qui est également actuellement connecté au même ordinateur, et de faire en sorte que cette application envoie le hachage NTLM dudit utilisateur à une adresse IP adresse choisie par l’attaquant », co-fondateur de 0patch Mitja Kolsek a expliqué dans un article de blog partageant des informations sur les micropatches gratuits publiés pour bloquer l’exploitation de RemotePotato0 sur les serveurs impactés.
« En interceptant un hachage NTLM d’un administrateur de domaine, l’attaquant peut créer sa propre demande pour le contrôleur de domaine se faisant passer pour cet administrateur et effectuer certaines actions administratives telles que s’ajouter au groupe Administrateurs de domaine. »
Alors que les attaquants devraient amener les utilisateurs à domicile avec des privilèges d’administrateur à se connecter au moment de l’attaque pour une exploitation réussie.
Cependant, comme l’a dit Kolsek, cela est beaucoup plus facile sur les systèmes Windows Server car plusieurs utilisateurs sont connectés simultanément, y compris les administrateurs, éliminant ainsi l’exigence d’ingénierie sociale.
Une démo vidéo du micropatch RemotePotato0 en action est intégrée ci-dessous.
Les administrateurs ont demandé de désactiver NTLM ou de configurer correctement les serveurs
Le protocole d’authentification Windows NT (New Technology) LAN Manager (NTLM) est utilisé pour authentifier les utilisateurs distants et pour assurer la sécurité des sessions lorsque requis par les protocoles d’application.
Kerberos a remplacé NTLM, le protocole d’authentification par défaut actuel pour les périphériques connectés au domaine pour tous les Windows 2000 et versions ultérieures.
Malgré cela, NTLM est toujours utilisé sur les serveurs Windows, permettant aux attaquants d’exploiter des vulnérabilités telles que RemotePotato0 conçues pour contourner les atténuations des attaques par relais NTLM.
Microsoft a déclaré aux chercheurs que les administrateurs Windows doivent soit désactiver NTLM, soit configurer leurs serveurs pour bloquer les attaques par relais NTLM à l’aide des services de certificats Active Directory (AD CS).
Les chercheurs « espèrent que MS reconsidérera sa décision de ne pas corriger cette grave vulnérabilité » puisque RemotePotato0 peut être exploité sans nécessiter l’interaction de la cible en relayant l’authentification vers d’autres protocoles, contrairement aux techniques d’attaque par relais NTLM similaires utilisant des bugs comme CVE-2020-1113 et CVE-2021-1678.
Patch gratuit disponible jusqu’à ce que Microsoft en fournisse un
Jusqu’à ce que Microsoft décide de publier des mises à jour de sécurité pour cette vulnérabilité, le Service de micropatching 0patch a a publié des correctifs non officiels gratuits (connus sous le nom de micropatchs).
0patch a développé les micropatchs en utilisant les informations partagées par Cocomazzi et Pierini dans leur rapport d’avril 2021.
Les correctifs non officiels pour RemotePotato0 sont disponibles pour toutes les versions de Windows de Windows 7 à la dernière version de Windows 10 et de Windows Server 2008 à Windows Server 2019.
Pour installer le micropatch sur votre système, vous devrez d’abord créer un compte 0patch puis installez le 0agent de patch.
Après le lancement de l’agent, le micropatch sera appliqué automatiquement sans redémarrage si vous n’avez activé aucune politique d’entreprise de correctifs personnalisés pour le bloquer.