微軟修復(fù)了所有Windows版本中的新NTLM零日漏洞
2022年05月12日
微軟于近期解決了一個(gè)積極利用的Windows LSA零日漏洞,未經(jīng)身份驗(yàn)證的攻擊者可以遠(yuǎn)程利用該漏洞來強(qiáng)制域控制器通過Windows NT LAN Manager (NTLM)安全協(xié)議對其進(jìn)行身份驗(yàn)證��。LSA(Local Security Authority的縮寫)是一個(gè)受保護(hù)的Windows子系統(tǒng)�����,它強(qiáng)制執(zhí)行本地安全策略并驗(yàn)證用戶的本地和遠(yuǎn)程登錄��。該漏洞編號為CVE-2022-26925���,是由Bertelsmann Printing Group的Raphael John報(bào)告的,據(jù)調(diào)查�,該漏洞在野已被利用,似乎是PetitPotam NTLM中繼攻擊的新載體�����。
安全研究員GILLES Lionel于2021年7月發(fā)現(xiàn)該變體����,且微軟一直在阻止PetitPotam變體,不過官網(wǎng)的一些舉措仍然沒有阻止其變體的出現(xiàn)����。LockFile勒索軟件組織就濫用PetitPotam NTLM中繼攻擊方法來劫持Windows域并部署惡意負(fù)載��。對此��,微軟建議Windows管理員檢查針對Active Directory證書服務(wù)(AD CS)上的NTLM中繼攻擊的PetitPotam緩解措施���,以獲取有關(guān)保護(hù)其系統(tǒng)免受CVE-2022-26925攻擊的信息。
通過強(qiáng)制認(rèn)證提升權(quán)限
通過使用這種新的攻擊向量����,威脅行為者可以攔截可用于提升權(quán)限的合法身份驗(yàn)證請求,這可能會導(dǎo)致整個(gè)域受到破壞���。不過攻擊者只能在高度復(fù)雜的中間人攻擊(MITM)中濫用此安全漏洞����,他們能夠攔截受害者和域控制器之間的流量以讀取或修改網(wǎng)絡(luò)通信�����。
微軟在其發(fā)布的公告中解釋:未經(jīng)身份驗(yàn)證的攻擊者可以調(diào)用LSARPC接口并強(qiáng)制域控制器使用NTLM 對攻擊者進(jìn)行身份驗(yàn)證�。此安全更新檢測到LSARPC中的匿名連接嘗試并禁止它。且此漏洞影響所有服務(wù)器���,但在應(yīng)用安全更新方面應(yīng)優(yōu)先考慮域控制器�����。在運(yùn)行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系統(tǒng)上安裝這些更新可能會帶來不利影響�����,因?yàn)樗鼈儠茐哪承┕?yīng)商的備份軟件�。
CVE-2022-26925影響所有Windows版本,包括客戶端和服務(wù)器平臺��,從Windows7和 Windows Server 2008到Windows 11和Windows 2022�。不過在今年五月份的微軟Patch Tuesday,微軟已經(jīng)和其他兩個(gè)漏洞一起修補(bǔ)了該零日漏洞���,一個(gè)是Windows Hyper-V 拒絕服務(wù)漏洞 (CVE-2022-22713)、還有一個(gè)是Magnitude Simba Amazon Redshift ODBC 驅(qū)動程序漏洞 (CVE-2022-29972)�。
