Microsoft hat eine aktiv ausgenutzte Windows LSA Spoofing Zero-Day-Schwachstelle gepatcht, die nicht authentifizierte Angreifer aus der Ferne ausnutzen können, um Domänencontroller zu zwingen, sich mit dem Windows NT LAN Manager (NTLM) Sicherheitsprotokoll zu authentifizieren.
Zero-Day-Exploit zielt auf Sicherheitsrichlinien ab
LSA (kurz für Local Security Authority) ist ein geschütztes Subsystem von Windows, das lokale Sicherheitsrichtlinien durchsetzt und Benutzer für lokale und entfernte Anwendungen authentifiziert.
Diese Schwachstelle, die auf CVE-2022-26925 zurückzuführen ist, wurde in freier Wildbahn ausgenutzt und scheint mit dem PetitPotam-NTLM-Relay-Angriff in Zusammenhang zu stehen.
Das PetitPotam-Tool, das im Juli 2021 entdeckt wurde, hat mehrere Varianten, die Microsoft zu blockieren versucht hat. Derzeit blockieren die offiziellen Abhilfemaßnahmen und nachfolgenden Sicherheitsupdates jedoch nicht alle PetitPotam-Vektoren vollständig.
Angreifer verbreiten Ransomware
LockFile-Ransomware-Angreifer haben die PetitPotam-NTLM-Relay-Angriffsmethode verwendet, um Windows-Domänen zu übernehmen und bösartige Bootloader zu installieren.
Microsoft empfiehlt Windows-Administratoren, das Dokument PetitPotam-Mitigation und Mitigation Measures against NTLM Relay Attack against Active Directory Certificate Services (AD CS) zu lesen, um weitere Informationen zum Schutz ihrer Systeme vor CVE-2022-26925-Angriffen zu erhalten.
Erzwingen von Berechtigungen
Mit diesem neuen Angriffsvektor können Bedrohungsakteure legitime Authentifizierungsanfragen abfangen, die dazu verwendet werden können, die Berechtigungen zu erhöhen und so möglicherweise eine vollständig kompromittierte Domain zu ermöglichen.
Angreifer können diese Sicherheitslücke nur in hochentwickelten MITM-Angriffen (Man-in-the-Middle) ausnutzen, bei denen sie in der Lage sein müssen, den Datenverkehr zwischen dem Opfer und dem Domänencontroller abzufangen, um den Netzwerkverkehr zu lesen oder zu verändern.
Update liefert Patch für Zero-Day-Exploit
Die Installation dieser Updates steht auch im Zusammenhang mit Sicherheitslücken in Systemen mit Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1, da sie die Backup-Software einiger Hersteller stören.
CVE-2022-26925 betrifft alle Versionen von Windows, einschließlich Client- und Server-Plattformen, von Windows 7 und Windows Server 2008 bis Windows 11 und Windows 2022.
Microsoft hat diesen Zero-Day-Bug zusammen mit zwei weiteren behoben - einem Denial-of-Service-Bug in Windows Hyper-V (CVE-2022-22713) und einem Fehler im Simba Amazon Redshift Magnitude ODBC-Treiber (CVE-2022-29972) - im Rahmen des Patch Tuesday im Mai 2022.
