Windows系统安全风险-本地NTLM重放提权
<p>经我司安全部门研究分析,近期利用NTLM重放机制入侵Windows 系统事件增多,入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌,最终取得系统权限,该安全风险微软并不认为存在漏洞,所以不会进行修复,为了您的服务器安全,我们建议您进行一下安全调整:</p><p><strong>1、关闭DCOM功能</strong></p>
<p>下面列出关闭DCOM步骤win2008/2012/2016/2019均适用</p>
<p>打开 <code>控制面板</code>-><code>管理工具</code>-><code>组件服务</code></p>
<p>展开 <code>组件服务</code>-<code>计算机</code> ,右击 <code>我的电脑</code> 选择 <code>属性</code></p>
<p><img alt="" src="https://img.jbzj.com/file_images/article/202104/20210415113811.png" /></p>
<p>点击 <code>默认属性</code>选项卡,取消勾选 “在此计算机上启用分布式COM”的,再确定即可</p>
<p><img alt="" src="https://img.jbzj.com/file_images/article/202104/20210415113812.png" /></p>
<p>建议使用windows的都关闭此项以减小被入侵风险。<br />
您也可以直接在命令行执行 reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f 进行关闭。</p>
<p><strong>2、如果在使用iis,建议删除IIS中的IIS6管理兼容</strong></p>
<p>服务器管理-<code>角色服务</code>管理-<code>删除角色和功能</code></p>
<p><img alt="" src="https://img.jbzj.com/file_images/article/202104/20210415113813.png" /></p>
<p><img alt="" src="https://img.jbzj.com/file_images/article/202104/20210415113814.png" /></p>
<p>如上图所示就可以了</p>
<p><strong>提权案例</strong></p>
<p>提权案例: https://mp.weixin.qq.com/s/qxCoQ9Zne6CibRbJMURiFA 请务必重视做好安全设置</p>
<p><strong>Potato – 本地特权提升工具</strong></p>
<p>这是又一个本地特权提升工具,从Windows服务帐户到NT AUTHORITY\SYSTEM ,如果用户拥有SeImpersonate 或拥有SeAssignPrimaryToken 权限,那么你就可以获取到SYSTEM。</p>
<p>Potato首先是想办法使自己成为一个中间人,再找到一种触发Windows更新机制的方法,或者干脆等待Windows定时检查更新。检查更新时实际上是系统的更新服务作为具有高权限的客户端,发出http请求,Potato中间人在响应中重定向并要求客户端进行认证,利用高权限的客户端向本地假http服务的认证过程,将认证数据转发给系统的RPC服务,迫使系统RPC服务认为Potato中间人是个具有高权限的客户,从而完成提权!</p>
<p>简单分析下Potato的缺点:</p>
<p>在Windows 7下,Potato利用Windows Defender的更新机制可以做到立即。而在其他环境下,Potato在提权时第一阶段会使用NBNS Spoofer技术,会快速发送大量的数据包,测试来看还是比较消耗CPU的,而且要等待较长时间。目前还未测试在该过程中是否会影响到主机访问网络,毕竟部分网络数据被发往127.0.0.1:80。</p>
<p>Potato的具体代码实现就不多说了,可以转换成其他语言编写,从而不依赖.NET,使其适用范围更大。</p>
<p>详细网址:https://www.freebuf.com/sectool/98316.html</p>
頁:
[1]