发布者：安芯网盾

发布于：2022-05-20 20:35

安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

1. 微软在所有Windows版本中修复了全新NTLM中继0day漏洞（5.10）

微软修复了一个被广泛利用的Windows LSA欺骗0day漏洞，未经身份验证的攻击者可以远程利用该漏洞迫使域控制器通过Windows NT LAN Manager (NTLM)安全协议对其进行身份验证。

详细情况

LSA (本地安全授权)是一个受保护的Windows子系统，它执行本地安全策略，并对本地和远程登录的用户进行验证。

该0day漏洞（CVE-2022-26925），由贝塔斯曼印刷集团的Raphael John报告，已经遭到在野利用，且与PetitPotam NTLM中继攻击有关。

PetitPotam由安全研究员GILLES Lionel于2021年7月发现，拥有一些微软一直试图防护的变体，但官方的缓解措施和此后的安全更新并不能完全阻止所有PetitPotam载体。

LockFile勒索软件曾滥用PetitPotam NTLM中继攻击方法劫持Windows域和部署恶意负载。

微软建议Windows管理员查看针对Active Directory证书服务(AD CS)的NTLM中继攻击的PetitPotam修补措施，以了解更多关于CVE-2022-26925攻击的防护信息。

使用这种新的攻击手段，攻击者可以拦截可用于升级特权的合法身份验证请求，很可能导致全域沦陷。

攻击者只能在高度复杂的中间人(MITM)攻击中滥用这个安全漏洞，他们必须能够拦截受害者和域控制器之间的通信，以读取或修改网络通信

“未经身份验证的攻击者可以调用LSARPC接口上的一个方法，并强迫域控制器使用NTLM向攻击者进行身份验证，”微软在发布的公告中解释道。

“此次安全更新将检测LSARPC中的匿名连接并进行阻止。这个漏洞将影响到所有服务器，但在应用安全更新时应优先考虑域控制器。”

安装安全更新对运行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1的系统中部分厂商的备份软件造成影响。

参考链接

2. 微软五月安全更新可能导致AD认证失败（5.12）

微软正在调查安装本月周二补丁日发布的补丁后导致的Windows服务的身份验证失败问题。

详细情况

Windows管理员发现一些用户在安装本月的安全补丁后出现 “由于用户凭证不匹配认证失败”的情况，即提供的用户名不无法匹配到现有帐户或密码不正确。

微软表示，“在域控制器上安装了本月补丁日发布的更新后，可能会出现服务器或客户端对网络策略服务器(NPS)、路由和远程访问服务(RRAS)、Radius、可扩展认证协议(EAP)和受保护的可扩展认证协议(PEAP)等服务的认证失败。”

该问题影响客户端和服务器的Windows平台以及运行所有Windows版本的系统，包括最新的可用版本(Windows 11和Windows server 2022)。

微软表示，只有在作为域控制器的服务器上安装更新后，才会触发这个情况。当部署在客户端Windows设备和无域控制器Windows服务器上时，更新补丁不会造成影响。

微软解释称，该服务身份验证问题是由针对CVE-2022-26931和CVE-2022-26923的安全更新引起的，这两项更新针对的是Windows Kerberos和Active Directory域服务中的特权漏洞。

微软正在调查该问题，并将在即将发布的版本中解决这个问题。在正式解决该问题之前，微软建议手动将证书匹配到Active Directory中的计算机帐户。

“如果首选缓解措施在您的环境中无法工作，请参阅‘Windows域控制器上基于证书的身份验证更改’，以在通道注册表键部分了解其他可能的修复措施。”

参考链接

网络安全 Windows

声明：该文观点仅代表作者本人，转载请注明来自看雪