微軟修復(fù)了所有Windows版本中的新NTLM零日漏洞
2022年05月12日
微軟于近期解決了一個(gè)積極利用的Windows LSA零日漏洞����,未經(jīng)身份驗(yàn)證的攻擊者可以遠(yuǎn)程利用該漏洞來(lái)強(qiáng)制域控制器通過(guò)Windows NT LAN Manager (NTLM)安全協(xié)議對(duì)其進(jìn)行身份驗(yàn)證。LSA(Local Security Authority的縮寫(xiě))是一個(gè)受保護(hù)的Windows子系統(tǒng),它強(qiáng)制執(zhí)行本地安全策略并驗(yàn)證用戶的本地和遠(yuǎn)程登錄�����。該漏洞編號(hào)為CVE-2022-26925����,是由Bertelsmann Printing Group的Raphael John報(bào)告的,據(jù)調(diào)查�,該漏洞在野已被利用,似乎是PetitPotam NTLM中繼攻擊的新載體�。
安全研究員GILLES Lionel于2021年7月發(fā)現(xiàn)該變體,且微軟一直在阻止PetitPotam變體����,不過(guò)官網(wǎng)的一些舉措仍然沒(méi)有阻止其變體的出現(xiàn)。LockFile勒索軟件組織就濫用PetitPotam NTLM中繼攻擊方法來(lái)劫持Windows域并部署惡意負(fù)載��。對(duì)此�,微軟建議Windows管理員檢查針對(duì)Active Directory證書(shū)服務(wù)(AD CS)上的NTLM中繼攻擊的PetitPotam緩解措施,以獲取有關(guān)保護(hù)其系統(tǒng)免受CVE-2022-26925攻擊的信息����。
通過(guò)強(qiáng)制認(rèn)證提升權(quán)限
通過(guò)使用這種新的攻擊向量,威脅行為者可以攔截可用于提升權(quán)限的合法身份驗(yàn)證請(qǐng)求���,這可能會(huì)導(dǎo)致整個(gè)域受到破壞�����。不過(guò)攻擊者只能在高度復(fù)雜的中間人攻擊(MITM)中濫用此安全漏洞�,他們能夠攔截受害者和域控制器之間的流量以讀取或修改網(wǎng)絡(luò)通信����。
微軟在其發(fā)布的公告中解釋:未經(jīng)身份驗(yàn)證的攻擊者可以調(diào)用LSARPC接口并強(qiáng)制域控制器使用NTLM 對(duì)攻擊者進(jìn)行身份驗(yàn)證。此安全更新檢測(cè)到LSARPC中的匿名連接嘗試并禁止它����。且此漏洞影響所有服務(wù)器,但在應(yīng)用安全更新方面應(yīng)優(yōu)先考慮域控制器���。在運(yùn)行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系統(tǒng)上安裝這些更新可能會(huì)帶來(lái)不利影響��,因?yàn)樗鼈儠?huì)破壞某些供應(yīng)商的備份軟件����。
CVE-2022-26925影響所有Windows版本����,包括客戶端和服務(wù)器平臺(tái)��,從Windows7和 Windows Server 2008到Windows 11和Windows 2022����。不過(guò)在今年五月份的微軟Patch Tuesday�,微軟已經(jīng)和其他兩個(gè)漏洞一起修補(bǔ)了該零日漏洞,一個(gè)是Windows Hyper-V 拒絕服務(wù)漏洞 (CVE-2022-22713)��、還有一個(gè)是Magnitude Simba Amazon Redshift ODBC 驅(qū)動(dòng)程序漏洞 (CVE-2022-29972)����。
