デフォルト設定のWindowsおよびWindows Serverにおける権限昇格の可能性が指摘される 14
ストーリー by hylom
合わせ技一本 部門より
合わせ技一本 部門より
あるAnonymous Coward 曰く、
2016年1月16日、FoxGlove SecurityがWindowsおよびWindows Serverの複数のバージョンにおける権限昇格の方法を公開した(Hacker News)。この脆弱性は「Hot Potato」と名付けられており、Windowsサービスにおける権限をNT AUTHORITYに昇格できるという。
この権限昇格は次の3ステップで行われる。
- NBNS応答の偽装
- WPADサーバーの偽装
- HTTP->SMB NTLM認証リレーによる権限昇格
これらのどの要素も基本的には古くから既知の問題だが、これらを組み合わせることでデフォルト設定のWindowsおよびWinsows Serverにおいて権限を昇格できるという。
ロゴマークは? (スコア:1)
愛称だけではインパクト不足だ。Heartbleedのようにロゴが必要だ。
Re: (スコア:0)
ロゴではないけど、Hot Potatoの画像検索 [google.co.jp]は中々強烈なインパクトがある。
NTLM認証なんとかしないと (スコア:1)
NTLM認証の脆弱性の新しい攻撃シナリオってところですかね。
とりあえずhostsファイルにwpadのエントリを作っておけば回避できるかな?
NTLM認証は、いい加減何とかしたほうがいい感じ…。
おいしそう (スコア:0)
なんで芋
Re:おいしそう (スコア:1)
《口語》 やっかいな問題,難問題
http://ejje.weblio.jp/content/hot+potato [weblio.jp]
Re:おいしそう (スコア:1)
熱々おでんみたいな物か
で、パッチは、 (スコア:0)
まだ?
Re: (スコア:0)
「これらのどの要素も基本的には古くから既知の問題だが」ですってよ
Re: (スコア:0)
問題がWindowsサービスの根幹部分にかかわっているので、互換性の問題からマイクロソフトは決定的な対策を打てないでいる。
例えば、過去に同一マシン上のSMBプロトコル間でのNTLM認証リレー攻撃が見つかった時に、本当ならNTLM認証自体を廃止するべきだったのに、同一マシン上同一プロトコル間の認証リレーを禁止するという中途半端な対策しか出来なかった。
Re: (スコア:0)
WPAD無効化すれば? http://superuser.com/questions/938186/how-to-turn-off-wpad-completely [superuser.com]
WPAD (スコア:0)
使ってるところあります?
いや、昔からそんな仕組みあるなーとは思いながらも
自社もよそさんも使ってるところ見たことなくて・・・
Re: (スコア:0)
ありますよ。
まあRFCがドラフトで終わった?からあえて入れないなら仕方ないと思いますが、
一時的な設定変更で徹夜したり、ユーザーに手作業で変更させてるの見ると、ナンダカナーと思いますけどね。
自宅でも使ったけど、キャッシュサーバー止めたので、DNSはダミーのAレコードです。
Re: (スコア:0)
> 一時的な設定変更で徹夜したり、ユーザーに手作業で変更させてるの見ると、ナンダカナーと思いますけどね。
ありがとう
なるほどそういわれると便利に思えてきた!
Re: (スコア:0)
自分が通っていたところ(T高専)で使われていました。私は、それでWPADというものの存在を知りました。