Windows系统安全风险-本地NTLM重放提权
经我司安全部门研究分析,近期利用NTLM重放机制入侵Windows 系统事件增多,入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌,最终取得系统权限,该安全风险微软并不认为存在漏洞,所以不会进行修复,为了您的服务器安全,我们建议您进行一下安全调整:
1、关闭DCOM功能
下面列出关闭DCOM步骤win2008/2012/2016/2019均适用
打开
控制面板
->管理工具
->组件服务
展开
组件服务
-计算机
,右击 我的电脑
选择 属性
点击
默认属性
选项卡,取消勾选 “在此计算机上启用分布式COM”的,再确定即可建议使用windows的都关闭此项以减小被入侵风险。
您也可以直接在命令行执行 reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f 进行关闭。
2、如果在使用iis,建议删除IIS中的IIS6管理兼容
服务器管理-
角色服务
管理-删除角色和功能
如上图所示就可以了
提权案例
提权案例: https://mp.weixin.qq.com/s/qxCoQ9Zne6CibRbJMURiFA 请务必重视做好安全设置
Potato – 本地特权提升工具
这是又一个本地特权提升工具,从Windows服务帐户到NT AUTHORITY\SYSTEM ,如果用户拥有SeImpersonate 或拥有SeAssignPrimaryToken 权限,那么你就可以获取到SYSTEM。
Potato首先是想办法使自己成为一个中间人,再找到一种触发Windows更新机制的方法,或者干脆等待Windows定时检查更新。检查更新时实际上是系统的更新服务作为具有高权限的客户端,发出http请求,Potato中间人在响应中重定向并要求客户端进行认证,利用高权限的客户端向本地假http服务的认证过程,将认证数据转发给系统的RPC服务,迫使系统RPC服务认为Potato中间人是个具有高权限的客户,从而完成提权!
简单分析下Potato的缺点:
在Windows 7下,Potato利用Windows Defender的更新机制可以做到立即。而在其他环境下,Potato在提权时第一阶段会使用NBNS Spoofer技术,会快速发送大量的数据包,测试来看还是比较消耗CPU的,而且要等待较长时间。目前还未测试在该过程中是否会影响到主机访问网络,毕竟部分网络数据被发往127.0.0.1:80。
Potato的具体代码实现就不多说了,可以转换成其他语言编写,从而不依赖.NET,使其适用范围更大。
详细网址:https://www.freebuf.com/sectool/98316.html