Hot Potatoの脆弱性が最新のWindows 2012マシンで悪用される可能性はどのくらいありますか?
ホットポテトの脆弱性 に関する記事を最近見つけましたが、非常に興味深いようでした。
この手法を使用すると、Windowsワークステーションでの特権を最低レベルから「NT AUTHORITY\SYSTEM」(Windowsマシンで使用できる最高レベルの特権)に昇格できます。
エクスプロイトは基本的に3つの側面で構成されています。
- ローカルNBNSスプーファー
- 偽のWPADプロキシサーバー
- HTTP-> SMB NTLMリレー
私は特にWindows Server 2012(R2)のこの脆弱性に興味があります。このエクスプロイトは、証明書信頼リスト(CTL)を毎日ダウンロードする自動更新メカニズムを利用しています。
SMB(サーバーメッセージブロック)署名を使用すると、理論的には攻撃をブロックできる可能性があります。NTNLリレー攻撃を阻止する他の方法は、Windowsで「認証の拡張保護」を有効にすることです。
私の質問、最初の脆弱性がリリースされて以来、Windows Updateを通じてパッチ/修正プログラムとして自動的に使用された、研究者によって提案された2つの緩和策の1つですか? 2016年の初めのどこかだと思います。
注:皮肉なことに、セキュリティを向上させることを目的としたCTLの毎日の更新の導入により、特権昇格の大きな脆弱性が導入されます
いいえ、SMB署名および/またはEPAは、ローカルポリシーまたはグループポリシー、あるいはその両方のポリシーレベルで変更する必要があります。すべてのNTLMリレー攻撃を適切にカバーするパッチはありません。 SMB署名および/またはEPAとUNCパス強化ポリシーが必要です。).
両方の詳細については、- https://security.stackexchange.com/a/139578/14 -を参照してください