Wersje systemów Microsoft Windows 7, 8, 10, Server 2008 i Server 2012 są podatne na działanie exploita “Hot Potato“, który pozwala przejąć pełną kontrolę nad komputerem.

Badacze cyberbezpieczeństwa z Foxglove Security odkryli sposób na włamanie się do systemów poprzez analizę i połączenie kilku innych luk bezpieczeństwa. Hot Potato bazuje na trzech różnych typach ataków, z których niektóre zostały odkryte na początku 2000 roku! Niektóre z tych luk wciąż nie zostały załatane przez Microsoft. Gigant z Redmond uzasadnia to tym, że mogłoby to negatywnie wpłynąć na kompatybilność systemów.

W jaki sposób działa exploit „Hot Potato”?

Hot Potato jest sumą trzech różnych podatności systemu Windows. Jedną z nich jest luka lokalnego protokołu NBNS (NetBIOS Name Service), która pozwala na podszycie się pod inne serwery (spoofing). Dzięki temu można utworzyć fałszywy serwer proxy WPAD (Web Proxy Auto-Discovery Protocol), co pozwoli odpowiednio przekierować ruch. Szukając hosta system Windows najpierw sprawdza listę adresów w pliku „hosts”, a następnie odpytuje serwery DNS, jeśli to zawiedzie to używa protokołu NBNS, który w tym przypadku jest podatny na atak.

Po otrzymaniu zapytania NBNS, wysyłana jest odpowiedź. W tym samym czasie, ustanowiony zostaje lokalny serwer HTTP, który odpowiada na zapytania skierowane do „http://wpad/wpad.dat”. W systemie Windows, Internet Explorer domyślnie, automatycznie próbuje wykryć konfigurację ustawień serwera proxy sieci, korzystając z powyższego adresu URL.

Cały ruch skierowany zostaje do ustanowionego serwera, dzięki czemu można tym ruchem zarządzać, np. poprzez przekierowywanie użytkowników.

Hot Potato właśnie przekierowuje wszystkie żądania HTTP do “http://localhost/GETHASHESxxxxx“, gdzie xxxxx jest unikalnym identyfikatorem.

Wszelkie dane uwierzytelniające protokołu NTLM są następnie przekazywane do lokalnej nasłuchującej usługi systemowej SMB, która wykonuje polecenia użytkownika.

Gdy żądanie HTTP pochodzi od administratora albo konta z wysokimi uprawnieniami, np. z usługi Windows Update, to polecenie wykona się na prawach systemowych – “NT AUTHORITYSYSTEM“.

Wykorzystując wszystkie 3 podatności potencjalny agresor jest w stanie podnieść uprawnienia użytkownika uzyskując dostęp do konta Administratora i wykonać poszczególne komendy (np. usunięcie danych plików).

Badacze zaprezentowali kod exploita na konferencji bezpieczeństwa ShmooCon w zeszły weekend.

Przykładowy atak na Windows 8/10/Server 2012

Dowód (PoC)

Exploit (Proof of Concept) jest dostępny na serwisie GitHub – https://github.com/foxglovesec/Potato

Jak zapobiegać?

Według badaczy, teoretycznym sposobem na zabezpieczenie jest użycie podpisów protokołu SMB (Server Message Block). Inną metodą jest użycie funkcji – “Extended Protection for Authentication” – “Rozszerzona ochrona uwierzytelniania” w systemie Windows, którą pobrać można tutaj – https://support.microsoft.com/en-us/kb/968389).

Źródło: http://foxglovesecurity.com/2016/01/16/hot-potato/
Zdjęcie: https://www.flickr.com/photos/br5ad/7676966764/

Jak oceniasz artykuł?

1 Star2 Stars3 Stars4 Stars5 Stars (3 ocena, średnio: 5,00 na 5)
Loading...

brak komentarzy
Dodaj swoją opinie

Kompetencje

Certyfikat Cisco Certified Network Associate (CCNA) Routing and Switching

Polecamy

VirtualStudy.pl - technologia w zasięgu Internetu

Zasubskrybuj Newsletter

Wyrażam zgodę na otrzymywanie informacji handlowych za pomocą środków komunikacji elektronicznej (zgodnie z Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną - Dz. U. Nr 144 poz. 1204.).

autoresponder system powered by FreshMail
 
Przeczytaj poprzedni wpis:
7 sposobów na anonimowe surfowanie w przeglądarce Safari iOS. Poradnik dla zielonych

Wielu z nas coraz bardziej obawia się, że nasze działania online są śledzone. Niektórzy chcą uniknąć lawiny marketerów i spamu,...

Zamknij