微软最近解决了一个被主动利用的WindowsLSA零日漏洞,该漏洞可能被未经身份验证的NTLAN管理器(NTLM)安全协议对其进行身份验证。LSA(LocalSecurityAuthority的缩写)是一个受保护的Windows子系统,它执行本地安全策略并验证用户的本地和远程登录。该漏洞编号为CVE-2022-26925,由BertelsmannPrintingGroup的RaphaelJohn报告。根据调查,该漏洞已在野外被利用,似乎是PetitPotamNTLM中继攻击的新载体。安全研究员GILLESLionel在2021年7月发现了该变种,微软一直在封锁PetitPotam变种,但官网的一些措施仍然没有阻止该变种的出现。LockFile勒索软件组织滥用PetitPotamNTLM中继攻击方法劫持Windows域并部署恶意负载。作为回应,Microsoft建议Windows管理员检查针对ActiveDirectory证书服务(ADCS)的NTLM中继攻击的PetitPotam缓解措施,以获取有关保护其系统免受CVE-2022-26925攻击的信息。通过强制身份验证提升权限使用这种新的攻击媒介,威胁行为者可以拦截可用于提升权限的合法身份验证请求,这可能会导致整个域受到损害。但攻击者只能在高度复杂的中间人攻击(MITM)中滥用此安全漏洞,他们能够拦截受害者与域控制器之间的流量以读取或修改网络通信。微软在其公告中解释说,未经身份验证的攻击者可以调用LSARPC接口并强制域控制器使用NTLM对攻击者进行身份验证。此安全更新检测LSARPC中的匿名连接尝试并将其阻止。并且此漏洞影响所有服务器,但应优先应用安全更新的域控制器。在运行Windows7ServicePack1和WindowsServer2008R2ServicePack1的系统上安装这些更新可能会产生不利影响,因为它们会破坏某些供应商的备份软件。CVE-2022-26925影响所有版本的Windows,包括客户端和服务器平台,从Windows7和WindowsServer2008到Windows11和Windows2022。不过,在今年5月的MicrosoftPatchTuesday上,微软已经修补了该零日漏洞连同另外两个漏洞,一个是WindowsHyper-V拒绝服务漏洞(CVE-2022-22713),另一个是MagnitudeSimbaAmazonRedshiftODBC驱动程序漏洞(CVE-2022-29972)。
