Recientemente encontré un artículo sobre la vulnerabilidad de Hot Potato y me pareció bastante interesante.
Usando esta técnica, podemos elevar nuestro privilegio en una estación de trabajo Windows desde los niveles más bajos hasta "NT AUTHORITY \ SYSTEM", el nivel más alto de privilegio disponible en una máquina con Windows.
El exploit consiste básicamente en tres aspectos:
- Local NBNS Spoofer
- Servidor Proxy WPAD falso
- HTTP - > SMB NTLM Relay
Estoy especialmente interesado en esta vulnerabilidad en Windows Server 2012 (R2). El exploit hace uso de un mecanismo de actualización automática que descarga listas de confianza de certificados (CTL) diariamente.
Los investigadores dijeron que el uso de la firma SMB (Server Message Block) puede teóricamente bloquear el ataque. Otro método para detener el ataque de reenvío NTNL es habilitar la "Protección ampliada para la autenticación" en Windows.
Mi pregunta, ¿una de las dos mitigaciones sugeridas por los investigadores se utiliza automáticamente como parche / solución a través de Windows Update, desde que se lanzó la vulnerabilidad inicial? Creo que en algún lugar a principios de 2016 .
Nota: es irónico que la introducción de una actualización diaria de los CTL destinados a mejorar la seguridad, introduzca una vulnerabilidad masiva de Escalamiento de privilegios.