CVE-2022-26925 è un punto debole del componente centrale della sicurezza di Windows (il processo "Autorità di sicurezza locale" all'interno di Windows) che, se sfruttato, consente agli aggressori di eseguire un attacco man-in-the-middle per costringere i controller di dominio ad autenticarsi al utente malintenzionato che utilizza l'autenticazione NTLM. Se utilizzato in combinazione con un attacco di inoltro NTLM, esiste il potenziale per l'esecuzione di codice in modalità remota.
Secondo Microsoft, "Un utente malintenzionato non autenticato potrebbe chiamare un metodo sull'interfaccia LSARPC e costringere il controller di dominio ad autenticarsi presso l'attaccante utilizzando NTLM".
Microsoft ha valutato questa vulnerabilità come importante e le ha assegnato un punteggio CVSS (pericolo) di 8,1 (10 è il peggiore), sebbene Microsoft noti che il punteggio CVSS può arrivare fino a 9,8 in determinate situazioni.
Affinché un utente malintenzionato possa trarre vantaggio da questa vulnerabilità, deve già avere accesso al percorso di rete logico tra il client e la risorsa per eseguire un attacco man-in-the middle.
Identificazione dei dispositivi vulnerabili
Per Microsoft, "Questo bug interessa tutte le versioni supportate di Windows, ma i controller di dominio dovrebbero essere corretti in base alla priorità prima di aggiornare altri server".
È necessario compiere uno sforzo particolare per dare priorità alla correzione di questa vulnerabilità sui dispositivi che sono sia controller di dominio che vulnerabili agli attacchi di inoltro NTLM. La gravità della vulnerabilità per questi dispositivi è superiore a 9.8.
I controller di dominio sono potenzialmente vulnerabili agli attacchi di inoltro NTLM quando sono presenti i seguenti componenti di Servizi certificati Active Directory (AD CS):
- Registrazione Web dell'autorità di certificazione
- Servizio Web per la registrazione dei certificati
Puoi identificare se i suddetti servizi sono presenti sul tuo Windows Server utilizzando il seguente metodo:
- Apri un prompt di PowerShell ed esegui il comando seguente:
Get-WindowsFeature *ad-certificate*, *adcs*
Se nei risultati è selezionato "Servizi certificati Active Directory" E "Registrazione Web autorità di certificazione" OPPURE "Servizio Web registrazione certificati", il tuo server potrebbe essere maggiormente a rischio di questo attacco.
Rimedio per dispositivi vulnerabili
Rackspace Technology consiglia vivamente le seguenti azioni:
1- Installa le patch di maggio 2022 di Microsoft come consigliato in questo link:
- Per i clienti abbonati alle soluzioni di patching Rackspace Technology, la patch associata verrà applicata in base a programmi di patch regolari.
- I clienti non abbonati alle soluzioni di patching di Rackspace Technology sono fortemente incoraggiati a patchare completamente i loro sistemi il prima possibile. I clienti possono patchare i propri sistemi da soli o contattare Rackspace per ricevere assistenza con le patch. Faremo ogni sforzo per soddisfare le richieste di patch.
2- Se il ruolo "Servizi certificati Active Directory" e i servizi associati (ad esempio "Registrazione Web autorità di certificazione" O "Servizio Web registrazione certificati") sono installati ma non si utilizzano questi ruoli, disinstallare i ruoli seguendo queste istruzioni fornite da Microsoft.
Problemi noti
Per Microsoft, "Dopo aver installato gli aggiornamenti rilasciati il 10 maggio 2022 sui controller di dominio, è possibile che vengano visualizzati errori di autenticazione sul server o sul client per servizi come Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Protocollo di autenticazione (EAP) e Protected Extensible Authentication Protocol (PEAP). È stato riscontrato un problema relativo al modo in cui la mappatura dei certificati agli account macchina viene gestita dal controller di dominio."
In caso di problemi di autenticazione dopo l'installazione degli aggiornamenti di maggio 2022, Microsoft ha fornito una correzione fuori banda dettagliata in questo collegamento.
Se hai bisogno di ulteriori informazioni o assistenza in merito a questa vulnerabilità, richiedi un ticket di supporto o chiama il tuo team di supporto Rackspace.
Utilizza la scheda Feedback per inserire commenti o porre domande. Puoi anche avviare una conversazione con noi.