安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

1. 微软在所有Windows版本中修复了全新NTLM中继0day漏洞(5.10)

微软修复了一个被广泛利用的Windows LSA欺骗0day漏洞,未经身份验证的攻击者可以远程利用该漏洞迫使域控制器通过Windows NT LAN Manager (NTLM)安全协议对其进行身份验证。

详细情况

LSA (本地安全授权)是一个受保护的Windows子系统,它执行本地安全策略,并对本地和远程登录的用户进行验证。

该0day漏洞(CVE-2022-26925),由贝塔斯曼印刷集团的Raphael John报告,已经遭到在野利用,且与PetitPotam NTLM中继攻击有关。

PetitPotam由安全研究员GILLES Lionel于2021年7月发现,拥有一些微软一直试图防护的变体,但官方的缓解措施和此后的安全更新并不能完全阻止所有PetitPotam载体。

LockFile勒索软件曾滥用PetitPotam NTLM中继攻击方法劫持Windows域和部署恶意负载。

微软建议Windows管理员查看针对Active Directory证书服务(AD CS)的NTLM中继攻击的PetitPotam修补措施,以了解更多关于CVE-2022-26925攻击的防护信息。

使用这种新的攻击手段,攻击者可以拦截可用于升级特权的合法身份验证请求,很可能导致全域沦陷。

攻击者只能在高度复杂的中间人(MITM)攻击中滥用这个安全漏洞,他们必须能够拦截受害者和域控制器之间的通信,以读取或修改网络通信

“未经身份验证的攻击者可以调用LSARPC接口上的一个方法,并强迫域控制器使用NTLM向攻击者进行身份验证,”微软在发布的公告中解释道。

“此次安全更新将检测LSARPC中的匿名连接并进行阻止。这个漏洞将影响到所有服务器,但在应用安全更新时应优先考虑域控制器。”

安装安全更新对运行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1的系统中部分厂商的备份软件造成影响。

参考链接

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-new-ntlm-relay-zero-day-in-all-windows-versions/?&web_view=true

2. 微软五月安全更新可能导致AD认证失败(5.12)

微软正在调查安装本月周二补丁日发布的补丁后导致的Windows服务的身份验证失败问题。

详细情况

Windows管理员发现一些用户在安装本月的安全补丁后出现 “由于用户凭证不匹配认证失败”的情况,即提供的用户名不无法匹配到现有帐户或密码不正确。

微软表示,“在域控制器上安装了本月补丁日发布的更新后,可能会出现服务器或客户端对网络策略服务器(NPS)、路由和远程访问服务(RRAS)、Radius、可扩展认证协议(EAP)和受保护的可扩展认证协议(PEAP)等服务的认证失败。”

该问题影响客户端和服务器的Windows平台以及运行所有Windows版本的系统,包括最新的可用版本(Windows 11和Windows server 2022)。

微软表示,只有在作为域控制器的服务器上安装更新后,才会触发这个情况。当部署在客户端Windows设备和无域控制器Windows服务器上时,更新补丁不会造成影响。

微软解释称,该服务身份验证问题是由针对CVE-2022-26931和CVE-2022-26923的安全更新引起的,这两项更新针对的是Windows Kerberos和Active Directory域服务中的特权漏洞。

微软正在调查该问题,并将在即将发布的版本中解决这个问题。在正式解决该问题之前,微软建议手动将证书匹配到Active Directory中的计算机帐户。

“如果首选缓解措施在您的环境中无法工作,请参阅‘Windows域控制器上基于证书的身份验证更改’,以在通道注册表键部分了解其他可能的修复措施。”

参考链接

https://www.bleepingcomputer.com/news/microsoft/microsoft-may-windows-updates-cause-ad-authentication-failures/

作者 安芯网盾