微軟于近期解決了一個積極利用的Windows LSA零日漏洞,未經身份驗證的攻擊者可以遠端利用該漏洞來強制域控制器通過Windows NT LAN Manager (NTLM)安全協定對其進行身份驗證。LSA(Local Security Authority的縮寫)是一個受保護的Windows子系統,它強制執行本地安全政策并驗證使用者的本地和遠端登入。該漏洞編号為CVE-2022-26925,是由Bertelsmann Printing Group的Raphael John報告的,據調查,該漏洞在野已被利用,似乎是PetitPotam NTLM中繼攻擊的新載體。
安全研究員GILLES Lionel于2021年7月發現該變體,且微軟一直在阻止PetitPotam變體,不過官網的一些舉措仍然沒有阻止其變體的出現。LockFile勒索軟體組織就濫用PetitPotam NTLM中繼攻擊方法來劫持Windows域并部署惡意負載。對此,微軟建議Windows管理者檢查針對Active Directory證書服務(AD CS)上的NTLM中繼攻擊的PetitPotam緩解措施,以擷取有關保護其系統免受CVE-2022-26925攻擊的資訊。
通過強制認證提升權限
通過使用這種新的攻擊向量,威脅行為者可以攔截可用于提升權限的合法身份驗證請求,這可能會導緻整個域受到破壞。不過攻擊者隻能在高度複雜的中間人攻擊(MITM)中濫用此安全漏洞,他們能夠攔截受害者和域控制器之間的流量以讀取或修改網絡通信。
微軟在其釋出的公告中解釋:未經身份驗證的攻擊者可以調用LSARPC接口并強制域控制器使用NTLM 對攻擊者進行身份驗證。此安全更新檢測到LSARPC中的匿名連接配接嘗試并禁止它。且此漏洞影響所有伺服器,但在應用安全更新方面應優先考慮域控制器。在運作Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系統上安裝這些更新可能會帶來不利影響,因為它們會破壞某些供應商的備份軟體。
CVE-2022-26925影響所有Windows版本,包括用戶端和伺服器平台,從Windows7和 Windows Server 2008到Windows 11和Windows 2022。不過在今年五月份的微軟Patch Tuesday,微軟已經和其他兩個漏洞一起修補了該零日漏洞,一個是Windows Hyper-V 拒絕服務漏洞 (CVE-2022-22713)、還有一個是Magnitude Simba Amazon Redshift ODBC 驅動程式漏洞 (CVE-2022-29972)。
參考來源
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-new-ntlm-relay-zero-day-in-all-windows-versions/