Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) αφαίρεσε ένα ελάττωμα ασφαλείας των Windows από τον κατάλογό της με γνωστές εκμεταλλευόμενες ευπάθειες λόγω ζητημάτων ελέγχου ταυτότητας της υπηρεσίας καταλόγου Active Directory (AD) που προκλήθηκαν από τις ενημερώσεις του Μαΐου 2022 που μπαλώστε το.
Αυτό το σφάλμα ασφαλείας είναι μια ενεργά εκμεταλλευόμενη πλαστογράφηση των Windows LSA zero-day που παρακολουθείται ως CVE-2022-26925, επιβεβαιωμένη ως νέος φορέας επίθεσης PetitPotam Windows NTLM Relay.
Οι μη επαληθευμένοι εισβολείς κάνουν κατάχρηση του CVE-2022-26925 για να αναγκάσουν τους ελεγκτές τομέα να τους ελέγχουν εξ αποστάσεως μέσω του πρωτοκόλλου ασφαλείας του Windows NT LAN Manager (NTLM) και, πιθανότατα, να αποκτήσουν τον έλεγχο ολόκληρου του τομέα των Windows.
Ενημερώσεις ασφαλείας του Μαΐου 2022 και ζητήματα εξουσιοδότησης AD
Η Microsoft το επιδιορθώνει μαζί με 74 άλλα ελαττώματα ασφαλείας (δύο από αυτά επίσης zero day) ως μέρος των ενημερώσεων κώδικα ασφαλείας που εκδόθηκαν την Τρίτη του Μαΐου 2022.
Ωστόσο, οι ενημερώσεις κώδικα για δύο ανυψώσεις ευπάθειας προνομίων στα Windows Kerberos και στις υπηρεσίες τομέα Active Directory (που παρακολουθούνται ως CVE-2022-26931 και CVE-2022-26923) θα προκαλέσουν επίσης προβλήματα ελέγχου ταυτότητας υπηρεσίας όταν αναπτύσσονται σε ελεγκτές τομέα Windows Server.
Προτού αφαιρεθεί από τον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών, όλες οι υπηρεσίες της Ομοσπονδιακής Πολιτικής Εκτελεστικής Υπηρεσίας (FCEB) έπρεπε να εφαρμόσουν τις ενημερώσεις ασφαλείας εντός τριών εβδομάδων (μέχρι την 1η Ιουνίου 2022), σύμφωνα με τη δεσμευτική επιχειρησιακή οδηγία BOD 22-01 που εκδόθηκε στο Νοέμβριος 2021.
Δεδομένου ότι η Microsoft δεν παρέχει πλέον ξεχωριστά προγράμματα εγκατάστασης για κάθε ζήτημα ασφαλείας που αντιμετωπίζει κατά τη διάρκεια της Τρίτης ενημέρωσης κώδικα, η εγκατάσταση των ενημερώσεων ασφαλείας αυτού του μήνα θα προκαλέσει επίσης τα ζητήματα εξουσιοδότησης AD, καθώς οι διαχειριστές δεν μπορούν να επιλέξουν να εγκαταστήσουν μόνο μία από τις ενημερώσεις ασφαλείας (δηλ. ένα για την αντιμετώπιση του νέου φορέα επίθεσης PetitPotam).
Όπως σημείωσε η CISA, “η εγκατάσταση των ενημερώσεων που κυκλοφόρησαν στις 10 Μαΐου 2022, σε συσκευές-πελάτες με Windows και σε διακομιστές Windows που δεν είναι ελεγκτές τομέα δεν θα προκαλέσει αυτό το πρόβλημα και εξακολουθεί να συνιστάται ανεπιφύλακτα”.
“Αυτό το ζήτημα επηρεάζει μόνο τις ενημερώσεις της 10ης Μαΐου 2022 που είναι εγκατεστημένες σε διακομιστές που χρησιμοποιούνται ως ελεγκτές τομέα. Οι οργανισμοί θα πρέπει να συνεχίσουν να εφαρμόζουν ενημερώσεις σε συσκευές-πελάτες Windows και διακομιστές Windows εκτός ελεγκτών τομέα”, πρόσθεσε η υπηρεσία κυβερνοασφάλειας.