微軟修復(fù)了所有Windows版本中的新NTLM零日漏洞
2022年05月12日
微軟于近期解決了一個積極利用的Windows LSA零日漏洞����,未經(jīng)身份驗證的攻擊者可以遠程利用該漏洞來強制域控制器通過Windows NT LAN Manager (NTLM)安全協(xié)議對其進行身份驗證�����。LSA(Local Security Authority的縮寫)是一個受保護的Windows子系統(tǒng),它強制執(zhí)行本地安全策略并驗證用戶的本地和遠程登錄�。該漏洞編號為CVE-2022-26925,是由Bertelsmann Printing Group的Raphael John報告的��,據(jù)調(diào)查�����,該漏洞在野已被利用����,似乎是PetitPotam NTLM中繼攻擊的新載體。
安全研究員GILLES Lionel于2021年7月發(fā)現(xiàn)該變體�����,且微軟一直在阻止PetitPotam變體����,不過官網(wǎng)的一些舉措仍然沒有阻止其變體的出現(xiàn)。LockFile勒索軟件組織就濫用PetitPotam NTLM中繼攻擊方法來劫持Windows域并部署惡意負載�。對此,微軟建議Windows管理員檢查針對Active Directory證書服務(wù)(AD CS)上的NTLM中繼攻擊的PetitPotam緩解措施��,以獲取有關(guān)保護其系統(tǒng)免受CVE-2022-26925攻擊的信息�����。
通過強制認證提升權(quán)限
通過使用這種新的攻擊向量,威脅行為者可以攔截可用于提升權(quán)限的合法身份驗證請求�,這可能會導(dǎo)致整個域受到破壞。不過攻擊者只能在高度復(fù)雜的中間人攻擊(MITM)中濫用此安全漏洞�,他們能夠攔截受害者和域控制器之間的流量以讀取或修改網(wǎng)絡(luò)通信。
微軟在其發(fā)布的公告中解釋:未經(jīng)身份驗證的攻擊者可以調(diào)用LSARPC接口并強制域控制器使用NTLM 對攻擊者進行身份驗證���。此安全更新檢測到LSARPC中的匿名連接嘗試并禁止它����。且此漏洞影響所有服務(wù)器���,但在應(yīng)用安全更新方面應(yīng)優(yōu)先考慮域控制器�。在運行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系統(tǒng)上安裝這些更新可能會帶來不利影響��,因為它們會破壞某些供應(yīng)商的備份軟件��。
CVE-2022-26925影響所有Windows版本�,包括客戶端和服務(wù)器平臺,從Windows7和 Windows Server 2008到Windows 11和Windows 2022�。不過在今年五月份的微軟Patch Tuesday�,微軟已經(jīng)和其他兩個漏洞一起修補了該零日漏洞�,一個是Windows Hyper-V 拒絕服務(wù)漏洞 (CVE-2022-22713)���、還有一個是Magnitude Simba Amazon Redshift ODBC 驅(qū)動程序漏洞 (CVE-2022-29972)�。
