Neowin melder at 0-Day-feilen som er døpt “RemotePotato0” nå har blitt fikset, men at det ikke er Microsoft som står bak. De nekter nemlig å tette sikkerhetshullet, noe som har resultert i at noen har gitt ut en uoffisiell fiks.
Ble advart i april
Hullet er en såkalt “0-Day”-feil som selskapet har anerkjent men som ikke har fått noe oppmerksomhet fra dem utover dette, slik at den ikke har fått så mye som en CVE-ID som er normalt for slike feil. Det var først SentinelOne-forskere som oppdaget feilen, som de raskt meldte fra om til Microsoft i april 2021.
Grunnleggeren av 0patch, Mitja Kolsek, har på bloggen sin beskrevet problemet i tillegg til å dele en uoffisiell fiks som tetter hullet. Hele innlegget kan leses her.
Gir administratorrettigheter
Slik “RemotePotato0” fungerer er at det tillater uvedkommende å sende ut autentiserte RPC/DCOM-kommandoer. Når disse går i oppfyllelse så får de flere privilegier på domenet som er målet for angrepet, slik at de får administratorrettigheter. Hullet omtales som spesielt farlig ettersom det ikke krever interaksjon fra målet.
Det er utdaterte autentiseringsprotokoller i Windows NT LAN Manager (NTLM) som utnyttes og som gjør dette til en sårbarhet. Det at de er utdaterte er sannsynligvis også grunnen til at Microsoft ikke gir det oppmerksomhet – de anbefaler bare at man deaktiverer NTLM eller konfigurerer Windows-servere til å blokkere NTLM-relaterte angrep.
Annonse
