微軟于近期解決了一個(gè)積極利用的Windows LSA零日漏洞,未經(jīng)身份驗(yàn)證的攻擊者可以遠(yuǎn)程利用該漏洞來(lái)強(qiáng)制域控制器通過(guò)Windows NT LAN Manager (NTLM)安全協(xié)議對(duì)其進(jìn)行身份驗(yàn)證。LSA(Local Security Authority的縮寫)是一個(gè)受保護(hù)的Windows子系統(tǒng),它強(qiáng)制執(zhí)行本地安全策略并驗(yàn)證用戶的本地和遠(yuǎn)程登錄。該漏洞編號(hào)為CVE-2022-26925,是由Bertelsmann Printing Group的Raphael John報(bào)告的,據(jù)調(diào)查,該漏洞在野已被利用,似乎是PetitPotam NTLM中繼攻擊的新載體。
安全研究員GILLES Lionel于2021年7月發(fā)現(xiàn)該變體,且微軟一直在阻止PetitPotam變體,不過(guò)官網(wǎng)的一些舉措仍然沒(méi)有阻止其變體的出現(xiàn)。LockFile勒索軟件組織就濫用PetitPotam NTLM中繼攻擊方法來(lái)劫持Windows域并部署惡意負(fù)載。對(duì)此,微軟建議Windows管理員檢查針對(duì)Active Directory證書服務(wù)(AD CS)上的NTLM中繼攻擊的PetitPotam緩解措施,以獲取有關(guān)保護(hù)其系統(tǒng)免受CVE-2022-26925攻擊的信息。
通過(guò)使用這種新的攻擊向量,威脅行為者可以攔截可用于提升權(quán)限的合法身份驗(yàn)證請(qǐng)求,這可能會(huì)導(dǎo)致整個(gè)域受到破壞。不過(guò)攻擊者只能在高度復(fù)雜的中間人攻擊(MITM)中濫用此安全漏洞,他們能夠攔截受害者和域控制器之間的流量以讀取或修改網(wǎng)絡(luò)通信。
微軟在其發(fā)布的公告中解釋:未經(jīng)身份驗(yàn)證的攻擊者可以調(diào)用LSARPC接口并強(qiáng)制域控制器使用NTLM 對(duì)攻擊者進(jìn)行身份驗(yàn)證。此安全更新檢測(cè)到LSARPC中的匿名連接嘗試并禁止它。且此漏洞影響所有服務(wù)器,但在應(yīng)用安全更新方面應(yīng)優(yōu)先考慮域控制器。在運(yùn)行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系統(tǒng)上安裝這些更新可能會(huì)帶來(lái)不利影響,因?yàn)樗鼈儠?huì)破壞某些供應(yīng)商的備份軟件。
CVE-2022-26925影響所有Windows版本,包括客戶端和服務(wù)器平臺(tái),從Windows7和 Windows Server 2008到Windows 11和Windows 2022。不過(guò)在今年五月份的微軟Patch Tuesday,微軟已經(jīng)和其他兩個(gè)漏洞一起修補(bǔ)了該零日漏洞,一個(gè)是Windows Hyper-V 拒絕服務(wù)漏洞 (CVE-2022-22713)、還有一個(gè)是Magnitude Simba Amazon Redshift ODBC 驅(qū)動(dòng)程序漏洞 (CVE-2022-29972)。
參考來(lái)源:https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-new-ntlm-relay-zero-day-in-all-windows-versions/
當(dāng)?shù)貢r(shí)間3月21日,聯(lián)合國(guó)大會(huì)一致通過(guò)了全球第一個(gè)關(guān)于人工智
近日,研究人員了披露了一個(gè)有關(guān) Saflok 電子 RFID
Gartner于2022年首次發(fā)布《2022年中國(guó)安全技術(shù)成
近期國(guó)務(wù)院學(xué)位委員會(huì)、教育部印發(fā)通知,發(fā)布《研究生教育學(xué)科
國(guó)內(nèi)證監(jiān)會(huì)發(fā)布《證券期貨業(yè)數(shù)據(jù)安全管理與保護(hù)指引》等7項(xiàng)金融
029-63648670
zoyink@zoyink.com
關(guān)注
官方微信