[ad_1]
A Microsoft abordou uma falsificação de LSA do Windows de dia zero que pode ser explorada remotamente por invasores não autenticados para forçar os controladores de domínio a autenticá-los por meio do protocolo de segurança NTLM (Windows NT LAN Manager).
LSA (abreviação de autoridade de segurança local) é um subsistema protegido do Windows que impõe políticas de segurança locais e valida usuários para logons locais e remotos.
A vulnerabilidade, rastreada como CVE-2022-26925 e relatada por Raphael John do Bertelsmann Printing Group, foi explorada em estado selvagem e parece ser um novo vetor para o ataque de retransmissão PetitPotam NTLM.
Descoberto pelo pesquisador de segurança GILLES Lionel em julho de 2021, o PetitPotam possui algumas variações que a Microsoft vem tentando bloquear. No entanto, neste momento, as mitigações oficiais subsequentes e as atualizações de segurança não bloqueiam completamente todos os vetores PetitPotam.
Os operadores do ransomware LockFile abusaram do método de ataque de retransmissão NTLM do PetitPotam para sequestrar domínios do Windows e implantar cargas maliciosas.
A Microsoft aconselha os administradores do Windows a verificar as mitigações PetitPotam e as Mitigações de Ataque de Retransmissão NTLM nos Serviços de Certificados do Active Directory (AD CS) para obter mais informações sobre como proteger seus sistemas contra ataques CVE. 2022-26925.
Escalonamento de privilégios usando autenticação forçada
Usando esse novo vetor de ataque, os agentes de ameaças podem interceptar solicitações de autenticação legítimas que podem ser usadas para aumentar os privilégios, potencialmente permitindo que todo o domínio seja comprometido.
Os invasores só podem abusar dessa falha de segurança em ataques MITM (man-in-the-middle) altamente complexos, nos quais devem ser capazes de interceptar o tráfego entre a vítima e um controlador de domínio para ler ou modificar as comunicações de rede.
“Um invasor não autenticado pode chamar um método na interface LSARPC e forçar o controlador de domínio a se autenticar no invasor usando NTLM”, explica a Microsoft no comunicado de hoje.
“Esta atualização de segurança detecta tentativas de conexão anônimas no LSARPC e as rejeita. [..] Essa vulnerabilidade afeta todos os servidores, mas os controladores de domínio devem ser priorizados ao aplicar atualizações de segurança.”
A instalação dessas atualizações também é inconveniente em sistemas que executam o Windows 7 Service Pack 1 e o Windows Server 2008 R2 Service Pack 1, pois eles podem danificar o software de backup de alguns fornecedores.
O CVE-2022-26925 afeta todas as versões do Windows, incluindo plataformas de cliente e servidor, do Windows 7 e Windows Server 2008 ao Windows 11 e Windows 2022.
A Microsoft corrigiu esse dia zero junto com outros dois, um erro de negação de serviço do Windows Hyper-V (CVE-2022-22713) e uma falha de driver Magnitude Simba Amazon Redshift ODBC (CVE-2022-29972), como parte da atualização de maio de 2022. Atualização. Patch terça-feira.
[ad_2]
