微软修复了所有Windows版本中的新NTLM零日漏洞

微软于近期解决了一个积极利用的微软Windows LSA零日漏洞，未经身份验证的修复攻击者可以远程利用该漏洞来强制域控制器通过Windows NT LAN Manager (NTLM)安全协议对其进行身份验证。LSA(Local Security Authority的版本中缩写)是一个受保护的Windows子系统，它强制执行本地安全策略并验证用户的零日漏洞本地和远程登录。该漏洞编号为CVE-2022-26925，微软是修复由Bertelsmann Printing Group的Raphael John报告的，据调查，版本中该漏洞在野已被利用，零日漏洞似乎是微软PetitPotam NTLM中继攻击的新载体。

安全研究员GILLES Lionel于2021年7月发现该变体，修复且微软一直在阻止PetitPotam变体，网站模板版本中不过官网的零日漏洞一些举措仍然没有阻止其变体的出现。LockFile勒索软件组织就滥用PetitPotam NTLM中继攻击方法来劫持Windows域并部署恶意负载。微软对此，修复微软建议Windows管理员检查针对Active Directory证书服务(AD CS)上的版本中NTLM中继攻击的PetitPotam缓解措施，以获取有关保护其系统免受CVE-2022-26925攻击的信息。

通过使用这种新的攻击向量，威胁行为者可以拦截可用于提升权限的合法身份验证请求，这可能会导致整个域受到破坏。不过攻击者只能在高度复杂的中间人攻击(MITM)中滥用此安全漏洞，他们能够拦截受害者和域控制器之间的流量以读取或修改网络通信。

微软在其发布的公告中解释：未经身份验证的企商汇攻击者可以调用LSARPC接口并强制域控制器使用NTLM 对攻击者进行身份验证。此安全更新检测到LSARPC中的匿名连接尝试并禁止它。且此漏洞影响所有服务器，但在应用安全更新方面应优先考虑域控制器。在运行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系统上安装这些更新可能会带来不利影响，因为它们会破坏某些供应商的备份软件。

CVE-2022-26925影响所有Windows版本，包括客户端和服务器平台，从Windows7和 Windows Server 2008到Windows 11和Windows 2022。不过在今年五月份的微软Patch Tuesday，微软已经和其他两个漏洞一起修补了该零日漏洞，一个是Windows Hyper-V 拒绝服务漏洞 (CVE-2022-22713)、还有一个是Magnitude Simba Amazon Redshift ODBC 驱动程序漏洞 (CVE-2022-29972)。

最新评论