安芯網盾記憶體安全週報專欄,希望幫助企業更好的理解記憶體安全相關問題。讓使用者更好的認識、發現問題,防止外部入侵等威脅、有效的對系統進行安全設計,以實時防禦並終止無檔案攻擊、0day /Nday攻擊、緩衝區溢位攻擊、基於記憶體的攻擊等。
1. 微軟在所有Windows版本中修復了全新NTLM中繼0day漏洞(5.10)
微軟修復了一個被廣泛利用的Windows LSA欺騙0day漏洞,未經身份驗證的攻擊者可以遠端利用該漏洞迫使域控制器透過Windows NT LAN Manager (NTLM)安全協議對其進行身份驗證。
詳細情況
LSA (本地安全授權)是一個受保護的Windows子系統,它執行本地安全策略,並對本地和遠端登入的使用者進行驗證。
該0day漏洞(CVE-2022-26925),由貝塔斯曼印刷集團的Raphael John報告,已經遭到在野利用,且與PetitPotam NTLM中繼攻擊有關。
PetitPotam由安全研究員GILLES Lionel於2021年7月發現,擁有一些微軟一直試圖防護的變體,但官方的緩解措施和此後的安全更新並不能完全阻止所有PetitPotam載體。
LockFile勒索軟體曾濫用PetitPotam NTLM中繼攻擊方法劫持Windows域和部署惡意負載。
微軟建議Windows管理員檢視針對Active Directory證書服務(AD CS)的NTLM中繼攻擊的PetitPotam修補措施,以瞭解更多關於CVE-2022-26925攻擊的防護資訊。
使用這種新的攻擊手段,攻擊者可以攔截可用於升級特權的合法身份驗證請求,很可能導致全域淪陷。
攻擊者只能在高度複雜的中間人(MITM)攻擊中濫用這個安全漏洞,他們必須能夠攔截受害者和域控制器之間的通訊,以讀取或修改網路通訊
“未經身份驗證的攻擊者可以呼叫LSARPC介面上的一個方法,並強迫域控制器使用NTLM向攻擊者進行身份驗證,”微軟在釋出的公告中解釋道。
“此次安全更新將檢測LSARPC中的匿名連線並進行阻止。這個漏洞將影響到所有伺服器,但在應用安全更新時應優先考慮域控制器。”
安裝安全更新對執行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1的系統中部分廠商的備份軟體造成影響。
參考連結
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-new-ntlm-relay-zero-day-in-all-windows-versions/?&web_view=true
2. 微軟五月安全更新可能導致AD認證失敗(5.12)
微軟正在調查安裝本月週二補丁日釋出的補丁後導致的Windows服務的身份驗證失敗問題。
詳細情況
Windows管理員發現一些使用者在安裝本月的安全補丁後出現 “由於使用者憑證不匹配認證失敗”的情況,即提供的使用者名稱不無法匹配到現有帳戶或密碼不正確。
微軟表示,“在域控制器上安裝了本月補丁日釋出的更新後,可能會出現伺服器或客戶端對網路策略伺服器(NPS)、路由和遠端訪問服務(RRAS)、Radius、可擴充套件認證協議(EAP)和受保護的可擴充套件認證協議(PEAP)等服務的認證失敗。”
該問題影響客戶端和伺服器的Windows平臺以及執行所有Windows版本的系統,包括最新的可用版本(Windows 11和Windows server 2022)。
微軟表示,只有在作為域控制器的伺服器上安裝更新後,才會觸發這個情況。當部署在客戶端Windows裝置和無域控制器Windows伺服器上時,更新補丁不會造成影響。
微軟解釋稱,該服務身份驗證問題是由針對CVE-2022-26931和CVE-2022-26923的安全更新引起的,這兩項更新針對的是Windows
Kerberos和Active Directory域服務中的特權漏洞。
微軟正在調查該問題,並將在即將釋出的版本中解決這個問題。在正式解決該問題之前,微軟建議手動將證書匹配到Active Directory中的計算機帳戶。
“如果首選緩解措施在您的環境中無法工作,請參閱‘Windows域控制器上基於證書的身份驗證更改’,以在通道登錄檔鍵部分了解其他可能的修復措施。”
參考連結
https://www.bleepingcomputer.com/news/microsoft/microsoft-may-windows-updates-cause-ad-authentication-failures/