#80 Potato

　Windowsにおける権限昇格のテクニックの一つに「Potato」があります。Potatoは、中間者攻撃に分類される攻撃手法で、認証をリレーすることで一般ユーザーをシステム管理者に昇格させます。使用するプロトコルや攻撃フローの違いによってHot Potato、Rotten Potato、Sweet Potatoなどバリエーションがあります。これらは総称して「Potato Family」と呼ばれることもあります。

　今回は、元祖PotatoともいうべきHot Potatoについて調べてみました。

参考

Hot Potato – Windows Privilege Escalation

Hot Potato – Windows Privilege Escalation

[GitHub] foxglovesec / Potato

Potatoes - Windows Privilege Escalation

Jorge Lajara WebsitePotatoes - Windows Privilege Escalation

攻撃フロー

　Hot Potatoの主な攻撃フローは以下のようになります。

1．NBNSスプーフィング

　攻撃対象マシンに誤った名前解決をさせます。Windowsは、DNSリクエストが失敗するとNBNSによって名前解決を行います。具体的には、wpadに対するアクセスが127.0.0.1で名前解決されるよう仕向けます。特権権限で動作している、「Windows Update」のようなサービスがプロキシの設定情報を取得する際、"http://wpad/wpad.dat&#8221"にアクセスするのを悪用します。

2．WPADプロキシ

　NBNSスプーフィングによって、wpadへのアクセスが127.0.0.1に向けられます。このアクセスを待ち受けるHTTPサーバーを立てて、わざと認証エラーを返します。すると、サービスからNTLM認証リクエストが行われます。

3．NTLMリレー

　NTLM認証リクエストは、攻撃対象マシンのSMBにリレーされます。当然、認証は成功するので、NTLMの所有者の権限で任意のサービスを立ち上げ、コマンドを実行することができます。

うまく行けば、これでシステム管理者権限で任意コマンドが実行できます。

条件

　参照した記事では、Hot Potatoが動作する条件として、

• Windows 7, 8, 10 Server 2008, 2012

• SMB署名が必須でないこと

とされていますが、ここで悪用しているテクニックはすでにパッチされているため、現在ではほとんどうまく行かないようです。ただし、Hot Potatoの子孫たちはいまだ健在で、世界中のWindowsネットワークで暴れまわっているみたいです。

まとめ

　企業内のネットワークでは、WindowsのActive Directoryが使用される場合が多いようです。セキュリティが甘いと、一台のマシンへの侵入をきっかけに、ドメイン全体が乗っ取られてしまうこともあります。侵入対策だけでなく、侵入後も横展開を許さないような、堅牢なネットワーク構築が重要です。

EOF