A vulnerabilidade de dia zero RemotePotato0, que afeta todas as versões atuais do sistema operacional Windows e pode ser usada por invasores para elevar os privilégios do sistema, recebeu uma correção não oficial. Este não é o primeiro patch não oficial para corrigir o problema mencionado, mas a correção da Microsoft não parece ver a luz do dia.
Fonte da imagem: Neowin
De acordo com os dados disponíveis, a vulnerabilidade RemotePotato0 foi descoberta pela primeira vez pelos especialistas em segurança cibernética Antonio Cocomazzi e Andrea Pierini. Eles notificaram a Microsoft de sua descoberta em abril de 2021. Embora a gigante do software tenha reconhecido o problema, a vulnerabilidade não recebeu um ID CVE e parece que a Microsoft não tem planos de corrigi-la.
«A vulnerabilidade permite que um invasor com poucos privilégios, autorizado no sistema, execute um dos vários aplicativos de finalidade especial na sessão de outro usuário também autorizado no sistema. Devido a isso, ele pode enviar o hash NTLM do usuário especificado para um dispositivo com um endereço IP arbitrário. Ao interceptar o hash NTLM de um administrador de domínio, um invasor pode fazer uma solicitação ao controlador de domínio, se passando por um administrador para elevar privilégios ou realizar outras ações”, comentou Mitja Kolsek, uma das participantes do projeto 0patch.
A fonte observa que, embora o protocolo NTLM (Windows NT LAN Manager) esteja desatualizado, ele ainda é usado em servidores Windows. Provavelmente porque o protocolo está desatualizado, a Microsoft não planeja corrigir a vulnerabilidade RemotePotato0. Em vez disso, a gigante do software recomendou recusar o uso de NTLM ou configurar servidores de forma a excluir a possibilidade de um ataque usando a vulnerabilidade RemotePotato0.