微軟修復了所有Windows版本中的新NTLM零日漏洞
2022年05月12日
微軟于近期解決了一個積極利用的Windows LSA零日漏洞�����,未經身份驗證的攻擊者可以遠程利用該漏洞來強制域控制器通過Windows NT LAN Manager (NTLM)安全協議對其進行身份驗證。LSA(Local Security Authority的縮寫)是一個受保護的Windows子系統,它強制執行本地安全策略并驗證用戶的本地和遠程登錄。該漏洞編號為CVE-2022-26925���,是由Bertelsmann Printing Group的Raphael John報告的,據調查,該漏洞在野已被利用�����,似乎是PetitPotam NTLM中繼攻擊的新載體�。
安全研究員GILLES Lionel于2021年7月發現該變體�����,且微軟一直在阻止PetitPotam變體�����,不過官網的一些舉措仍然沒有阻止其變體的出現�����。LockFile勒索軟件組織就濫用PetitPotam NTLM中繼攻擊方法來劫持Windows域并部署惡意負載。對此�,微軟建議Windows管理員檢查針對Active Directory證書服務(AD CS)上的NTLM中繼攻擊的PetitPotam緩解措施���,以獲取有關保護其系統免受CVE-2022-26925攻擊的信息�。
通過強制認證提升權限
通過使用這種新的攻擊向量���,威脅行為者可以攔截可用于提升權限的合法身份驗證請求��,這可能會導致整個域受到破壞�。不過攻擊者只能在高度復雜的中間人攻擊(MITM)中濫用此安全漏洞��,他們能夠攔截受害者和域控制器之間的流量以讀取或修改網絡通信�。
微軟在其發布的公告中解釋:未經身份驗證的攻擊者可以調用LSARPC接口并強制域控制器使用NTLM 對攻擊者進行身份驗證���。此安全更新檢測到LSARPC中的匿名連接嘗試并禁止它�����。且此漏洞影響所有服務器����,但在應用安全更新方面應優先考慮域控制器��。在運行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系統上安裝這些更新可能會帶來不利影響,因為它們會破壞某些供應商的備份軟件���。
CVE-2022-26925影響所有Windows版本,包括客戶端和服務器平臺�����,從Windows7和 Windows Server 2008到Windows 11和Windows 2022���。不過在今年五月份的微軟Patch Tuesday���,微軟已經和其他兩個漏洞一起修補了該零日漏洞����,一個是Windows Hyper-V 拒絕服務漏洞 (CVE-2022-22713)、還有一個是Magnitude Simba Amazon Redshift ODBC 驅動程序漏洞 (CVE-2022-29972)�。
