Windows LPE: MiniPlasma i powrót (nie)załatanej luki CVE-2020-17103

Jest taki gatunek luk, który na slajdzie brzmi nudno, a w praktyce zamienia zwykłe konto pracownika w administratora całej maszyny w kilka sekund. Badacz podpisujący się jako Nightmare-Eclipse opublikował właśnie na GitHubie działający kod, który robi dokładnie to na w pełni zaktualizowanym Windowsie. Nazwał go MiniPlasma. Najciekawsze jest jednak to, że luka, którą exploit wykorzystuje, została oficjalnie załatana ponad pięć lat temu.
Czym jest MiniPlasma
MiniPlasma to exploit typu LPE, czyli lokalna eskalacja uprawnień. Repozytorium Nightmare-Eclipse/MiniPlasma to nie teoretyczny opis ani slajd z konferencji, tylko gotowy, uzbrojony Proof of Concept.
Sprawdziliśmy to u siebie. Exploit uruchamia się z poziomu zwykłego, nisko uprzywilejowanego konta użytkownika i w ułamku sekundy oddaje wiersz poleceń z uprawnieniami SYSTEM, najwyższymi w całym systemie. Działa na w pełni zaktualizowanych maszynach, w tym na Windows 11. Od tego momentu atakujący robi z komputerem, co tylko chce.
Brzmi jak coś, co wymaga wcześniejszego włamania? Owszem. Tyle że w rozbudowanych sieciach Active Directory zdobycie takiego nisko uprzywilejowanego konta rzadko jest problemem. Wystarczy jeden przechwycony i złamany hash NetNTLMv2 albo udany NTLM Relaying, i napastnik jest w środku, gotów zrzucić bazę haseł SAM i piąć się wyżej.
Stara luka w nowym przebraniu
Najbardziej niepokojące jest to, że MiniPlasma nie odkrywa Ameryki. Pod spodem siedzi podatność skatalogowana dawno temu jako CVE-2020-17103, w systemowym sterowniku chmury cldflt.sys.
Ten komponent jest domyślnie aktywny w każdej nowoczesnej wersji Windowsa, bo odpowiada za obsługę OneDrive i mechanizm plików na żądanie. Innymi słowy: podatny kawałek systemu masz u siebie włączony, nawet jeśli nigdy świadomie z OneDrive nie korzystałeś.
Microsoft oficjalnie usunął tę lukę w grudniu 2020 roku. Problem w tym, że łatka albo nigdy nie działała do końca poprawnie, albo po drodze doszło do regresji. Efekt jest taki, że pięć lat później ta sama dziura znów daje się wykorzystać.
Dlaczego to realny problem, nie teoria
Sama eskalacja uprawnień rzadko jest celem. Jest ogniwem. To ten element łańcucha, dzięki któremu incydent z drobnego wejścia zamienia się w przejęcie całej sieci, a w najgorszym scenariuszu w ransomware szyfrujące wszystko od góry do dołu.
Z naszych realizacji wynika, że po zdobyciu SYSTEM na jednej stacji atakujący ma na wyciągnięcie ręki między innymi:
- zrzut hashy NTLM wszystkich kont zalogowanych na tej maszynie (w Windowsie hash jest tak dobry jak hasło), co otwiera drogę do kolejnych kont,
- hasło lokalnego administratora, które przy braku MS LAPS bywa identyczne na dziesiątkach komputerów naraz,
- pełny dostęp do zasobów sieciowych i usług widocznych z tej stacji, czyli gotowy punkt wyjścia do ruchu bocznego.
Jedna podatna stacja, jeden powtórzony lokalny admin, i nagle mapa całej sieci należy do kogoś innego.
Co z tym zrobić
Bez straszenia dla samego straszenia: można temu zaradzić. Dwie rzeczy dają tu największy zwrot.
- Aktualizuj EDR i traktuj go poważnie. Dostawcy Endpoint Detection and Response śledzą publiczne repozytoria z exploitami, także te spod znaku Nightmare-Eclipse, i szybko dodają reguły wykrywania dla nowego kodu. Aktualny EDR ma realną szansę wyłapać i zablokować próbę użycia tego PoC. Nieaktualny nie wyłapie niczego.
- Testuj się regularnie, zamiast zgadywać. Test penetracyjny odpowiada na dwa pytania, których nie rozstrzygnie żaden slajd. Pierwsze: czy w Twojej infrastrukturze napastnik w ogóle jest w stanie zdobyć to nisko uprzywilejowane konto, od którego wszystko się zaczyna. Drugie: czy eskalacje typu LPE faktycznie przechodzą u Ciebie w praktyce i co realnie dają atakującemu.
Łatka sprzed pięciu lat, komponent, którego nikt świadomie nie włączał, i konto pracownika, które nagle staje się kontem SYSTEM. Cyberbezpieczeństwo bywa właśnie takie: najciekawsze rzeczy dzieją się w miejscach, na które nikt nie patrzy. Kiedy ostatnio ktoś u Was sprawdził, dokąd naprawdę prowadzi jedno zwykłe konto użytkownika?
Umów bezpłatną konsultację, a zaplanujemy test penetracyjny, który pokaże, czy eskalacje uprawnień takie jak MiniPlasma realnie przechodzą w Twojej infrastrukturze.