评论

收藏

[安全技术] Windows系统安全风险-本地NTLM重放提权

网络安全 网络安全 发布于:2021-07-07 12:52 | 阅读数:410 | 评论:0

  经我司安全部门研究分析,近期利用NTLM重放机制入侵Windows 系统事件增多,入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌,最终取得系统权限,该安全风险微软并不认为存在漏洞,所以不会进行修复,为了您的服务器安全,我们建议您进行一下安全调整:
  1、关闭DCOM功能
  下面列出关闭DCOM步骤win2008/2012/2016/2019均适用
  打开 控制面板->管理工具->组件服务
  展开 组件服务-计算机 ,右击 我的电脑 选择 属性
DSC0000.png

  点击 默认属性选项卡,取消勾选 “在此计算机上启用分布式COM”的,再确定即可
DSC0001.png

  建议使用windows的都关闭此项以减小被入侵风险。
您也可以直接在命令行执行 reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f 进行关闭。
  2、如果在使用iis,建议删除IIS中的IIS6管理兼容
  服务器管理-角色服务管理-删除角色和功能
DSC0002.png

DSC0003.png

  如上图所示就可以了
  提权案例
  提权案例: https://mp.weixin.qq.com/s/qxCoQ9Zne6CibRbJMURiFA 请务必重视做好安全设置
  Potato – 本地特权提升工具
  这是又一个本地特权提升工具,从Windows服务帐户到NT AUTHORITY\SYSTEM ,如果用户拥有SeImpersonate 或拥有SeAssignPrimaryToken 权限,那么你就可以获取到SYSTEM。
  Potato首先是想办法使自己成为一个中间人,再找到一种触发Windows更新机制的方法,或者干脆等待Windows定时检查更新。检查更新时实际上是系统的更新服务作为具有高权限的客户端,发出http请求,Potato中间人在响应中重定向并要求客户端进行认证,利用高权限的客户端向本地假http服务的认证过程,将认证数据转发给系统的RPC服务,迫使系统RPC服务认为Potato中间人是个具有高权限的客户,从而完成提权!
  简单分析下Potato的缺点:
  在Windows 7下,Potato利用Windows Defender的更新机制可以做到立即。而在其他环境下,Potato在提权时第一阶段会使用NBNS Spoofer技术,会快速发送大量的数据包,测试来看还是比较消耗CPU的,而且要等待较长时间。目前还未测试在该过程中是否会影响到主机访问网络,毕竟部分网络数据被发往127.0.0.1:80。
  Potato的具体代码实现就不多说了,可以转换成其他语言编写,从而不依赖.NET,使其适用范围更大。
  详细网址:https://www.freebuf.com/sectool/98316.html

关注下面的标签,发现更多相似文章