CVE-2022-26925 je slabina v centrální součásti zabezpečení Windows (proces „místního bezpečnostního úřadu“ v systému Windows), která při zneužití umožňuje útočníkům provést útok typu man-in-the-middle, aby přinutili řadiče domény k ověření útočník pomocí ověřování NTLM. Při použití ve spojení s přenosovým útokem NTLM existuje možnost vzdáleného spuštění kódu.
Podle společnosti Microsoft:„Neověřený útočník by mohl zavolat metodu na rozhraní LSARPC a přinutit řadič domény, aby se ověřil u útočníka pomocí NTLM.“
Společnost Microsoft ohodnotila tuto chybu zabezpečení jako důležitou a přidělila jí skóre CVSS (nebezpečí) 8,1 (10 je nejhorší), ačkoliv Microsoft poznamenává, že skóre CVSS může být v určitých situacích až 9,8.
Aby mohl útočník využít této chyby zabezpečení, musí již mít přístup k logické síťové cestě mezi klientem a prostředkem, aby mohl provést útok typu man-in-the middle.
Identifikace zranitelných zařízení
Podle Microsoftu „Tato chyba se týká všech podporovaných verzí Windows, ale řadiče domén by měly být před aktualizací ostatních serverů prioritně opraveny.“
Zvláštní úsilí by mělo být věnováno prioritní nápravě této chyby zabezpečení na zařízeních, která jsou zároveň řadiči domény a jsou zranitelná vůči útokům NTLM Relay Attack. Závažnost zranitelnosti u těchto zařízení je vyšší na 9.8.
Řadiče domény jsou potenciálně zranitelné vůči útokům přenosu NTLM, pokud jsou přítomny následující součásti služby Active Directory Certificate Services (AD CS):
- Webová registrace certifikační autority
- Webová služba pro registraci certifikátu
Zda jsou výše uvedené služby na vašem serveru Windows přítomny, můžete zjistit pomocí následující metody:
- Otevřete výzvu PowerShellu a spusťte následující příkaz:
Get-WindowsFeature *ad-certificate*, *adcs*
Pokud je ve výsledcích vybráno „Active Directory Certificate Services“ A JE vybráno buď „Webová registrace certifikační autority“ NEBO „Webová služba registrace certifikátu“, váš server je potenciálně vystaven zvýšenému riziku tohoto útoku.
Oprava zranitelných zařízení
Rackspace Technology důrazně doporučuje následující akce:
1- Nainstalujte opravy z května 2022 od společnosti Microsoft podle doporučení na tomto odkazu:
- Pro zákazníky, kteří si předplatili záplatovací řešení technologie Rackspace, bude přidružená záplata aplikována v pravidelných plánech oprav.
- Zákazníkům, kteří nejsou přihlášeni k záplatovacím řešením technologie Rackspace, se důrazně doporučuje, aby co nejdříve provedli úplnou opravu svých systémů. Zákazníci mohou své systémy opravovat sami nebo kontaktovat Rackspace a získat pomoc s opravou. Vynaložíme veškeré úsilí, abychom vyhověli požadavkům na opravy.
2- Pokud je nainstalována role „Active Directory Certificate Services“ a související služby (tj. „Webová registrace certifikační autority“ NEBO „Webová služba pro registraci certifikátu“), ale nepoužíváte tyto role, odinstalujte role pomocí těchto pokynů poskytnutých společností Microsoft.
Známé problémy
Podle společnosti Microsoft:„Po instalaci aktualizací vydaných 10. května 2022 na vaše řadiče domény můžete zaznamenat selhání ověřování na serveru nebo klientovi pro služby, jako je server síťových zásad (NPS), služba směrování a vzdáleného přístupu (RRAS), Radius, Extensible Authentication Protocol (EAP) a Protected Extensible Authentication Protocol (PEAP). Byl nalezen problém související s tím, jak řadič domény zpracovává mapování certifikátů na účty strojů.“
Pokud se po instalaci aktualizací z května 2022 setkáte s problémy s ověřováním, společnost Microsoft poskytla mimopásmovou opravu podrobně uvedenou v tomto odkazu.
Pokud potřebujete další informace nebo pomoc týkající se této chyby zabezpečení, získejte lístek podpory nebo zavolejte svému týmu podpory Rackspace.
Pomocí karty Zpětná vazba můžete přidat komentáře nebo položit otázky. Můžete s námi také zahájit konverzaci.