Nuevo PoC para la vulnerabilidad de escalada de privilegios NTLM de Windows

Se publicó un exploit de prueba de concepto (PoC) para la vulnerabilidad de escalada de privilegios NTLM de Windows, identificada como CVE-2023-21746 con puntación CVSS 7.8 / 6.8.

Este error podría permitir a un atacante local autenticado obtener privilegios elevados en el sistema, debido a una falla en el componente NTLM.

Esta vulnerabilidad es un tipo de reflection attack NTLM, se encuentra dentro de la categoría de ataques DoS, no tan común en la autenticación local que permite la lectura/escritura arbitraria de archivos. También, junto con la ejecución de código, se podría lograr una elevación de cadena completa de privilegios del usuario al SISTEMA.

Productos afectados

Producto	Versiones
Microsoft Windows 11	22H2 for x64-based Systems 22H2 for ARM64-based Systems 21H2 for x64-based Systems 21H2 for ARM64-based Systems
Microsoft Windows 10	22H2 for 32-bit Systems 22H2 for x64-based Systems 22H2 for ARM64-based Systems 21H2 for 32-bit Systems 21H2 for x64-based Systems 21H2 for ARM64-based Systems 20H2 for 32-bit Systems 20H2 for x64-based Systems 20H2 for ARM64-based Systems 1809 for 32-bit Systems 1809 for x64-based Systems 1809 for ARM64-based Systems 32-bit Systmes x64-based Systems 1607 for 32-bit Systems 1607 for x64-based Systems
Microsoft Windows 7	32-bit Systems Service Pack 1 x64-based Systems Service Pack 1
Microsoft Windows 8,1	32-bit systems x64-based systems
Microsoft Windows RT	8,1
Microsoft Windows Server	2022 2022 (Server Core installation) 2019 2019 (Server Core installation) 2016 2016 (Server Core installation) 2008 R2 for x64-based Systems Service Pack 1 2008 R2 for x64-based Systems Service Pack 1 (Core installation) 2012 2012 (Core installation) 2012 R2 2012 R2 (Core installation)

Microsoft ha resuelto el problema con el lanzamiento de parches para las versiones compatibles de Windows, pero esto podría ser solo una solución alternativa, ya que puede ser difícil detectar identificadores de contexto falsificados en el protocolo NTLM.

Es importante señalar que este tipo de ataque no es específico de los protocolos SMB o RPC, sino una debilidad general en el flujo de autenticación. Otros protocolos que usan NTLM como método de autenticación aún pueden ser vulnerables, siempre que se puedan encontrar servicios explotables.

Recomendaciones

• Aplicar el parche de enero lo antes posible.

Referencias

• https://securityonline.info/poc-exploit-for-windows-ntlm-privilege-escalation-flaw-cve-2023-21746-published/
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21746
• https://www.localpotato.com/localpotato_html/LocalPotato.html
• https://www.cve.org/CVERecord?id=CVE-2023-21746