H CISA πρόσθεσε εκ νέου ένα σφάλμα ασφαλείας που επηρεάζει τις συσκευές Windows στη λίστα σφαλμάτων που εκμεταλλεύονται στη φύση μετά την κατάργησή του τον Μάιο λόγω προβλημάτων ελέγχου ταυτότητας πιστοποιητικών Active Directory (AD) που προκαλούνται από τη Microsoft Ενημερώσεις Μαΐου 2022.
Το ελάττωμα είναι μια ευπάθεια πλαστογράφησης των Windows LSA (Τοπική Αρχή Ασφαλείας) παρακολουθείται ως CVE-2022-26925 και έχει επιβεβαιωθεί ότι είναι ένα νέο διάνυσμα επίθεσης PetitPotam Windows NTLM Relay.
Οι μη επαληθευμένοι εισβολείς μπορούν να εκμεταλλευτούν αυτό το σφάλμα για να αναγκάσουν τους ελεγκτές τομέα να τους ελέγχουν εξ αποστάσεως μέσω του πρωτοκόλλου ασφαλείας του Windows NT LAN Manager (NTLM) και, πιθανότατα, να καταλάβουν ολόκληρο τον τομέα των Windows.
Το PetitPotam ανακαλύφθηκε από τον ερευνητή ασφαλείας GILLES Lionel τον Ιούλιο του 2021, με τη Microsoft να προσπαθεί να μπλοκάρει νέες παραλλαγές που έχουν ανακαλυφθεί από τότε.
Ωστόσο, σε αυτό το σημείο, παρά τις προσπάθειες του Redmond, οι επίσημοι μετριασμούς ασφαλείας που εκδόθηκαν στη συνέχεια εκδόσεις εξακολουθούν να μην αποκλείουν πλήρως όλους τους φορείς PetitPotam .
Για να δούμε τη σοβαρότητα αυτών των σφαλμάτων, πολλοί παράγοντες απειλών τα εκμεταλλεύονται στην άγρια φύση.
Μεταξύ αυτών, οι θυγατρικές εταιρείες ransomware LockFile έχουν παραβιάσει τομείς των Windows σε επιθέσεις αναμετάδοσης PetitPotam NTLM για να αναπτύξουν κακόβουλα ωφέλιμα φορτία.