Nuevo PoC para la vulnerabilidad de escalada de privilegios NTLM de Windows

Se publicó un exploit de prueba de concepto (PoC) para la vulnerabilidad de escalada de privilegios NTLM de Windows, identificada como CVE-2023-21746 con puntación CVSS 7.8 / 6.8.

Este error podría permitir a un atacante local autenticado obtener privilegios elevados en el sistema, debido a una falla en el componente NTLM.

Esta vulnerabilidad es un tipo de reflection attack NTLM, se encuentra dentro de la categoría de ataques DoS, no tan común en la autenticación local que permite la lectura/escritura arbitraria de archivos. También, junto con la ejecución de código, se podría lograr una elevación de cadena completa de privilegios del usuario al SISTEMA.

Productos afectados

ProductoVersiones
Microsoft Windows 1122H2 for x64-based Systems
22H2 for ARM64-based Systems
21H2 for x64-based Systems
21H2 for ARM64-based Systems
Microsoft Windows 1022H2 for 32-bit Systems
22H2 for x64-based Systems
22H2 for ARM64-based Systems
21H2 for 32-bit Systems
21H2 for x64-based Systems
21H2 for ARM64-based Systems
20H2 for 32-bit Systems
20H2 for x64-based Systems
20H2 for ARM64-based Systems
1809 for 32-bit Systems
1809 for x64-based Systems
1809 for ARM64-based Systems
32-bit Systmes
x64-based Systems
1607 for 32-bit Systems
1607 for x64-based Systems
Microsoft Windows 732-bit Systems Service Pack 1
x64-based Systems Service Pack 1
Microsoft Windows 8,132-bit systems
x64-based systems
Microsoft Windows RT8,1
Microsoft Windows Server2022
2022 (Server Core installation)
2019
2019 (Server Core installation)
2016
2016 (Server Core installation)
2008 R2 for x64-based Systems Service Pack 1
2008 R2 for x64-based Systems Service Pack 1 (Core installation)
2012
2012 (Core installation)
2012 R2
2012 R2 (Core installation)

Microsoft ha resuelto el problema con el lanzamiento de parches para las versiones compatibles de Windows, pero esto podría ser solo una solución alternativa, ya que puede ser difícil detectar identificadores de contexto falsificados en el protocolo NTLM.

Es importante señalar que este tipo de ataque no es específico de los protocolos SMB o RPC, sino una debilidad general en el flujo de autenticación. Otros protocolos que usan NTLM como método de autenticación aún pueden ser vulnerables, siempre que se puedan encontrar servicios explotables.

Recomendaciones

  • Aplicar el parche de enero lo antes posible.

Referencias