27. Juli 2021, 12:00
Lesezeit: ca. 1 Min

Auf sich allein gestellt

Von Stephan (vielen Dank!) erhielt ich heute morgen die Mail, dass über NTLM es auch an anderen Stellen zur Rechteausweitung kommt. Dokumentiert wird das zu DCOM von den SentinelLABS1, die zugleich auch einen schönen POC mit dem Namen “RemotePotato0” veröffentlicht haben.2

Im Detail wird über das Weiterleiten von NTLM-Anfragen eine Privilege Escalation eines angemeldeten Benutzers bewirkt. Eine Benutzerinteraktion ist nicht notwendig.

(…) we had an RPC client whose authentication was relayed to other “server” protocols and without “victim” interaction.

Der Lohn für diese besondere “Vermittlungsarbeit” ist nichts geringeres als volle AD Systemrechte, die höher sind als die des gemeinen Domainadmins. Eine angeklickte Executable und direkter Netzwerkzugriff reichen demnach aus.

Bemerkenswert aus der Disclosure Timeline ist das Verhalten und Empfehlung von Microsoft:

Microsoft informed us that, after an extensive review, they determined that “Servers must defend themselves against NTLM relay attacks”

Frei übersetzt lässt Microsoft seine Kunden und Admins in Stich. Ja, Server sind vor einem produktiven Einsatz zu härten. Nein, das macht meiner vorsichtigen persönlichen Einschätzung nach kein Wald-Wiesen-Windows-Admin und by the way bezahlt einem das auch kein Kunde aus KMU.

In diesem Sinne,
Tomas Jakobs


  1. https://labs.sentinelone.com/relaying-potatoes-dce-rpc-ntlm-relay-eop/ ↩︎

  2. https://github.com/antonioCoco/RemotePotato0 ↩︎

© 2021 Tomas Jakobs - Impressum und Datenschutzhinweis