0patch fixt RemotePotato0-Schwachstelle in Windows

Publiziert am 14. Januar 2022 von Günter Born

Windows[English]Das Sicherheitsteam von ACROS Security rund um den Gründer Mitja Kolsek hat gerade einen Micro-Patch zum Schließen einer Local Privilege Escalation-Schwachstelle von Windows entwickelt. Der Patch steht für alle Kunden mit dem 0patch-Agenten kostenfrei bereit, bis Microsoft diese Schwachstelle schließt. Hier einige Informationen dazu.

Die RemotePotato0 LPE-Schwachstelle

Im April 2021 hatte der Forscher Antonio Cocomazzi von Sentinel LABS und der unabhängige Sicherheitsforscher Andrea Pierini einen Artikel mit dem Titel Relaying Potatoes: Another Unexpected Privilege Escalation Vulnerability in Windows RPC Protocol veröffentlicht. Der Artikel beschrieb eine lokale Schwachstelle zur Privilegienerweiterung, die sie in Windows gefunden und an Microsoft gemeldet hatten. Ich hatte im Juli 2021 im Beitrag RemotePotato0: Privilege Escalation-Schwachstelle im Windows RPC Protocol darüber berichtet.

Die Sicherheitslücke ermöglicht es einem angemeldeten Angreifer mit niedrigen Privilegien, eine von mehreren Spezialanwendungen in der Sitzung eines anderen Benutzers zu starten. Der Benutzer muss aber gerade am selben Computer angemeldet sein, und diese Anwendung dazu zu bringen, den NTLM-Hash des Benutzers an eine vom Angreifer ausgewählte IP-Adresse zu senden. Wenn der Angreifer einen NTLM-Hash von einem Domänenadministrator abfängt, kann er eine eigene Anfrage an den Domänencontroller stellen, in der er sich als dieser Administrator ausgibt, und eine administrative Aktion durchführen, z. B. sich selbst zur Gruppe der Domänenadministratoren hinzufügen.

Microsoft entschied, diese Schwachstelle nicht zu beheben, da „Server sich gegen NTLM-Relay-Angriffe verteidigen müssen“. In der Realität schützen sich viele Server nicht vor NTLM-Relay-Angriffen. Da die Schwachstelle in allen unterstützten Windows-Versionen vorhanden ist (sowie in allen nicht unterstützten Versionen, die die ACROS Security-Leute als sicherheitsrelevant eingestuft haben), haben die ACROS Security-Leute beschlossen, die Schwachstelle mit einem Micro-Patch zu beseitigen.

Die 0Patch-Lösung für die RemotePotato0 LPE-Schwachstelle

Das Team von ACROS Security, welches seit Jahren die 0Patch-Lösung bereitstellt, hat die RPE-Schwachstelle analysiert und stellte einen Micropatch bereit, um die Schwachstelle unschädlich zu machen. Mitja Kolsek hat über Twitter auf diese Lösung aufmerksam gemacht.

Windows RemotePotato0 RCE fix

Das Ganze wird in diesem Blog-Beitrag  vom 12. Januar 2022 von 0patch detaillierter beschrieben. Die 0patch Micropatches stehen für alle Kunden kostenlos für folgende Windows-Versionen zur Verfügung.

  1. Windows 10 v21H1 32&64 bit updated with December 2021 or January 2022 Updates
  2. Windows 10 v20H2 32&64 bit updated with December 2021 or January 2022 Updates
  3. Windows 10 v2004 32&64 bit updated with December 2021 or January 2022 Updates
  4. Windows 10 v1909 32&64 bit updated with December 2021 or January 2022 Updates
  5. Windows 10 v1903 32&64 bit updated with December 2021 or January 2022 Updates
  6. Windows 10 v1809 32&64 bit updated with May 2021 Updates
  7. Windows 10 v1803 32&64 bit updated with May 2021 Updates
  8. Windows 7 32&64 bit updated with January 2020 Updates (no ESU)
  9. Windows 7 32&64 bit updated with January 2021 Updates (year 1 of ESU)
  10. Windows 7 32&64 bit updated with December 2021 or January 2022 Updates (year 2 of ESU)
  11. Windows Server 2019 64 bit updated with December 2021 or January 2022 Updates
  12. Windows Server 2016 64 bit updated with December 2021 or January 2022 Updates
  13. Windows Server 2012 R2 64 bit updated with December 2021 or January 2022 Updates
  14. Windows Server 2012 64 bit updated with December 2021 or January 2022 Updates
  15. Windows Server 2008 R2 64 bit updated with January 2020 Updates (no ESU)
  16. Windows Server 2008 R2 64 bit updated with January 2021 Updates (year 1 of ESU)
  17. Windows Server 2008 R2 64 bit updated with January 2022 Updates (year 2 of ESU)
  18. Windows Server 2008 64 bit updated with January 2020 Updates

In diesem Tweet berichtet ein Nutzer aber kleine Probleme bei der Hello PIN-Eingabe in Windows. Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (wie z.B. hier).

Ähnliche Artikel
Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1281 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1337 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1530 in Windows 7/Server 2008 R2
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
0patch fixt CVE-2020-1013 in Windows 7/Server 2008 R2
0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec
0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle
0patch fixt 0-day im Internet Explorer
0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2
0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)
0Patch bietet Support für Windows 10 Version 1809 nach EOL
Windows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)
2. 0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)
Windows 10: 0patch-Fix für MSHTML-Schwachstelle (CVE-2021-40444)
0patch fixt LPE-Schwachstelle (CVE-2021-34484) in Windows User Profile Service
0patch fixt LPE-Schwachstelle (CVE-2021-24084) in Mobile Device Management Service
0patch fixt InstallerTakeOver LPE-Schwachstelle in Windows
0patch fixt ms-officecmd RCE-Schwachstelle in Windows

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert