Microsoft, kimlik doğrulanmamış saldırganların Windows NT LAN Manager (NTLM) Güvenlik Protokolü aracılığıyla bunları doğrulamaya zorlamak için uzaktan sömürebileceği aktif olarak sömürülmemiş bir Windows LSA sahtekarlığı sıfır gününe hitap etti.
LSA (Yerel Güvenlik Otoritesinin Kısacası), yerel güvenlik politikalarını uygulayan ve kullanıcıları yerel ve uzaktan imzalar için doğrulayan korumalı bir Windows alt sistemidir.
CVE-2022-26925 olarak izlenen ve Bertelsmann Baskı Grubu'nun Raphael John tarafından bildirilen güvenlik açığı, vahşi doğada sömürülmüş ve Petitpotam NTLM röle saldırısı ile ilişkili gibi görünmektedir.
Temmuz 2021'de güvenlik araştırmacısı Gilles Lionel tarafından keşfedilen Petitpotam'ın Microsoft'un engellemeye çalıştığı birkaç varyasyonu var. Bununla birlikte, bu noktada, resmi hafifletmeler ve sonraki güvenlik güncellemeleri tüm Petitpotam vektörlerini tamamen engellemez.
Lockfile fidye yazılımı operatörleri, Windows alan adlarını ele geçirmek ve kötü amaçlı yükler dağıtmak için Petitpotam NTLM röle saldırı yöntemini kötüye kullandılar.
Microsoft, Windows Adims'e, sistemlerini CVE-2022-26925 saldırılarından koruma hakkında daha fazla bilgi için Active Directory Sertifika Hizmetleri'ne (AD CS) NTLM rölesi saldırılarına karşı petitpotam azaltma ve azaltma önlemlerini kontrol etmesini tavsiye eder.
Bu yeni saldırı vektörünü kullanarak, tehdit aktörleri ayrıcalıkları artırmak için kullanılabilecek meşru kimlik doğrulama isteklerini kesebilir ve muhtemelen tam alan uzlaşmasına izin verebilir.
Saldırganlar, bu güvenlik kusurunu ancak ağ iletişimini okumak veya değiştirmek için mağdur ve bir alan denetleyicisi arasındaki trafiği kesebilmeleri gereken yüksek karmaşıklık ortada (MITM) saldırılarında kötüye kullanabilirler.
Microsoft bugünkü danışmanlıkta, "Kimlik doğrulanmamış bir saldırgan LSARPC arayüzünde bir yöntem çağırabilir ve etki alanı denetleyicisini NTLM kullanarak saldırgana doğrulamaya zorlayabilir."
"Bu güvenlik güncellemesi, LSARPC'deki anonim bağlantı girişimlerini algılar ve onu deşifre eder. [..] Bu güvenlik açığı tüm sunucuları etkiler, ancak etki alanı denetleyicileri güvenlik güncellemelerinin uygulanması açısından öncelik verilmelidir."
Bu güncellemeleri yüklemek, Windows 7 Service Pack 1 ve Windows Server 2008 R2 Service Pack 1'i çalıştıran sistemlerde dezavantajlarla birlikte gelir, çünkü bazı satıcılardan yedek yazılımları kıracaktır.
CVE-2022-26925, Windows 7 ve Windows Server 2008'den Windows 11 ve Windows 2022'den başlayarak istemci ve sunucu platformları dahil tüm Windows sürümlerini etkiler.
Microsoft, bu sıfır günü diğer iki kişi ile birlikte yamaladı, Windows Hyper-V Hizmet Reddetme Hatası (CVE-2022-22713) ve Mayıs 2022'nin bir parçası olarak Simba Amazon Redshift ODBC sürücü kusurunu (CVE-2022-29972) büyüklüğünde Yama Salı.
GÜNCELLEME: Petitpotam'a açıklanmış bağlantı.
Windows 'RemotePotato0' Zero-Day resmi olmayan bir yama alır
Microsoft, Windows Direct3D sorununu uygulama çökmelerinin arkasında düzeltiyor
Windows 10 KB5012636 Kümülatif Güncelleme Donma Sorunlarını Düzeltiyor
Microsoft: Windows AutoPatch Salı günleri Yama'dan 'Eğlenceyi' çalıyor
Microsoft, pencerelerinin dışında Windows 10 uygulamalarını düzeltiyor
Kaynak: Bleeping Computer