Специалисты по безопасности из компании Foxglove Security сумели объединить несколько уязвимостей операционных систем от Microsoft, самой старой из которых уже 15 лет. Систему из трёх уязвимостей, собранных в одну, назвали «Hot Potato». Эта система позволяет за разумное время поднять привилегии процесса с самого нижнего до системного, и получить тем самым контроль над ОС.Среди используемых уязвимостей — NTLM relay, атака на протокол аутентификации NT LAN Manager (конкретно HTTP->SMB relay). Другая уязвимость — «NBNS spoofing», позволяющая атакующему настроить поддельные прокси в Web Proxy Auto-Discovery Protocol. Все уязвимости работают в Windows 7, 8, 10, Server 2008 и Server 2012.
Как утилита работает в Windows 7
Используемые уязвимости не новы. Более того, все они хорошо известны внутри компании Microsoft. Проблема лишь в том, что исправление этих уязвимостей невозможно без нарушения обратной совместимости разных версий операционных систем. Поэтому разного рода хакеры эксплуатируют их по сию пору.
Исследователи взяли за основу своей системы метод 2014 года от Google Project Zero, а затем расширили и дополнили его. Новинкой является метод комбинирования известных уязвимостей между собой.
Последовательное применение трёх уязвимостей может занять достаточно продолжительное время, от нескольких минут до нескольких дней, но в случае успеха атакующий может поднять привилегии процесса до системного. Поскольку многие администраторы, строя сетевую защиту, полагаются на уровень привилегий, то получивший наивысшие привилегии процесс позволит проникнуть на другие компьютеры сети, и тем самым скомпрометировать всю сеть.
О своём открытии Foxglove Security рассказали на последней хакерской конференции ShmooCon, проходившей на прошлых выходных. Они не постеснялись не только детально описать технологию взлома на своей странице, но и опубликовать видеоролики с демонстрацией и даже выложить код утилиты для взлома на GitHub.
