近日曝光的一個影響所有流行Windows 操作系統版本的零日漏洞，已收到多個非官方補丁。SentinelOne 研究人員Antonio Cocomazzi 和Andrea Pierini 最早發現了這個名為“RemotePotato0”的提權漏洞，並於2021 年4 月就向微軟進行了通報。

截圖（via 0patch by ACROS Security）

然而讓人不解的是，儘管微軟承認了這個零日漏洞的存在，卻遲遲未給它分配一個通用漏洞披露（CVE ID）編號，據說是官方拒絕修復。

至於RemotePotato0 的攻擊原理，其實依賴於NTLM 中繼，以觸發經過身份驗證的RPC / DCOM 調用。

通過成功地將NTLM 身份驗證中繼到其它協議，攻擊者便可在目標系統上為自己提升權限，從而獲得域管理員的相應能力。

0修補遠程土豆0本地權限提升（通過）

0patch 聯合創始人Mitja Kolsek 對這個漏洞給出了詳細的解釋，甚至分享了非官方補丁，以阻止在受影響的服務器上的利用。

其允許以低權限登錄的攻擊者，利用同一台計算機上其他用戶會話的NTLM 哈希，發送IP 攻擊者指定的地址。

在從域管理員那裡截獲NTLM 哈希後，攻擊者可通過偽造請求，假裝該管理員身份並執行某些管理操作—— 比如特權提升。

NTLM 全稱為Windows NT LAN Manager，作為一個過時的身份驗證協議，其仍被大量Windows 服務器所採用。

或許正因如此，微軟才懶得為其專門分配一個CVE 漏洞編號和提供修復，而是建議直接禁用NTLM、或重新配置Windows 服務器以阻止此類中繼攻擊。

不過微軟這項決定的風險依然很大，畢竟RemotePotato0 可在無需與目標交互的情況下被利用。

有鑑於此，第三方強烈建議為從Windows 7 ~ 10、以及Server 2008 ~ 2019 的操作系統積極落實漏洞封堵措施。