【安全资讯】本月微软修复了一个Windows全版本高危漏洞

近期，微软修复了一个被频繁利用的Windows LSA 漏洞，该漏洞编号为CNNVD-202205-2846（CVE-2022-26925）。LSA(Local Security Authority的缩写)是一个受保护的Windows子系统，存在于 Windows LSA 服务中。该漏洞允许未经身份认证的远程攻击者可以调用 LSARPC 接口上的方法并强制域控制器使用 NTLM 向攻击者进行身份验证。因此，攻击者可以通过 NTLM 中继攻击获取凭据并破坏受影响的系统。目前技术细节已公开，并且已在野利用。

2021年7月，安全研究人员GILLES Lionel发现该变体，虽然微软官方一直在采取措施阻止，但仍然没有阻止其变体的出现。LockFile勒索软件组织就利用PetitPotam NTLM中继攻击方法来劫持Windows域并部署恶意负载。对此，微软建议Windows管理员检查针对Active Directory证书服务(AD CS)上的NTLM中继攻击的PetitPotam缓解措施，以获取有关保护其系统免受CNNVD-202205-2846（CVE-2022-26925）攻击的信息。

通过强制认证提升权限

通过使用这种新的攻击向量，威胁行为者可以拦截可用于提升权限的合法身份验证请求，这可能会导致整个域受到破坏。不过攻击者只能在高度复杂的中间人攻击(MITM)中利用此安全漏洞，他们能够拦截受害者和域控制器之间的流量以读取或修改网络通信。

微软在其发布的公告中强调：此漏洞影响所有服务器，但在应用安全更新方面应优先考虑域控制器。

CNNVD-202205-2846（CVE-2022-26925）影响所有Windows版本，包括客户端和服务器平台。不过在今年五月份的微软补丁日中，微软已经和其他两个漏洞一起修补了该0day漏洞，一个是Windows Hyper-V 拒绝服务漏洞CNNVD-202205-2867 (CVE-2022-22713)、还有一个是Magnitude Simba Amazon Redshift ODBC驱动程序漏洞CNNVD-202205-2719 (CVE-2022-29972)。

来源 | FreeBuf.com