web-dev-qa-db-ja.com

Hot Potatoの脆弱性が最新のWindows 2012マシンで悪用される可能性はどのくらいありますか?

ホットポテトの脆弱性 に関する記事を最近見つけましたが、非常に興味深いようでした。

この手法を使用すると、Windowsワークステーションでの特権を最低レベルから「NT AUTHORITY\SYSTEM」(Windowsマシンで使用できる最高レベルの特権)に昇格できます。

エクスプロイトは基本的に3つの側面で構成されています。

  1. ローカルNBNSスプーファー
  2. 偽のWPADプロキシサーバー
  3. HTTP-> SMB NTLMリレー

私は特にWindows Server 2012(R2)のこの脆弱性に興味があります。このエクスプロイトは、証明書信頼リスト(CTL)を毎日ダウンロードする自動更新メカニズムを利用しています。

SMB(サーバーメッセージブロック)署名を使用すると、理論的には攻撃をブロックできる可能性があります。NTNLリレー攻撃を阻止する他の方法は、Windowsで「認証の拡張保護」を有効にすることです。

私の質問、最初の脆弱性がリリースされて以来、Windows Updateを通じてパッチ/修正プログラムとして自動的に使用された、研究者によって提案された2つの緩和策の1つですか? 2016年の初めのどこかだと思います

注:皮肉なことに、セキュリティを向上させることを目的としたCTLの毎日の更新の導入により、特権昇格の大きな脆弱性が導入されます

2
Bob Ortiz

いいえ、SMB署名および/またはEPAは、ローカルポリシーまたはグループポリシー、あるいはその両方のポリシーレベルで変更する必要があります。すべてのNTLMリレー攻撃を適切にカバーするパッチはありません。 SMB署名および/またはEPAとUNCパス強化ポリシーが必要です。).

両方の詳細については、- https://security.stackexchange.com/a/139578/14 -を参照してください

2
atdre