CVE-2022-26925 ist eine Schwachstelle in der zentralen Komponente der Windows-Sicherheit (der „Local Security Authority“-Prozess in Windows), die es Angreifern ermöglicht, einen Man-in-the-Middle-Angriff durchzuführen, um Domänencontroller zu zwingen, sich bei der zu authentifizieren Angreifer mit NTLM-Authentifizierung. Wenn es in Verbindung mit einem NTLM-Relay-Angriff verwendet wird, besteht die Möglichkeit einer Remotecodeausführung.
Laut Microsoft „könnte ein nicht authentifizierter Angreifer eine Methode auf der LSARPC-Schnittstelle aufrufen und den Domänencontroller dazu zwingen, sich über NTLM beim Angreifer zu authentifizieren.“
Microsoft hat diese Schwachstelle als wichtig eingestuft und ihr eine CVSS-Bewertung (Gefahr) von 8,1 (10 ist die schlechteste) zugewiesen, obwohl Microsoft anmerkt, dass die CVSS-Bewertung in bestimmten Situationen bis zu 9,8 betragen kann.
Damit ein Angreifer diese Schwachstelle ausnutzen kann, muss er bereits Zugriff auf den logischen Netzwerkpfad zwischen dem Client und der Ressource haben, um einen Man-in-the-Middle-Angriff durchzuführen.
Identifizierung von anfälligen Geräten
Laut Microsoft „betrifft dieser Fehler alle unterstützten Versionen von Windows, aber Domänencontroller sollten vorrangig gepatcht werden, bevor andere Server aktualisiert werden.“
Es sollten besondere Anstrengungen unternommen werden, um die Behebung dieser Sicherheitsanfälligkeit auf Geräten zu priorisieren, die sowohl Domänencontroller als auch anfällig für NTLM-Relay-Angriffe sind. Der Schweregrad der Schwachstelle für diese Geräte liegt bei 9,8.
Domänencontroller sind potenziell anfällig für NTLM-Relay-Angriffe, wenn die folgenden Active Directory Certificate Services (AD CS)-Komponenten vorhanden sind:
- Webregistrierung der Zertifizierungsstelle
- Zertifikatregistrierungs-Webdienst
Mit der folgenden Methode können Sie feststellen, ob die oben genannten Dienste auf Ihrem Windows-Server vorhanden sind:
- Öffnen Sie eine PowerShell-Eingabeaufforderung und führen Sie den folgenden Befehl aus:
Get-WindowsFeature *ad-certificate*, *adcs*
Wenn in den Ergebnissen „Active Directory Certificate Services“ ausgewählt UND entweder „Certificate Authority Web Enrollment“ ODER „Certificate Enrollment Web Service“ ausgewählt ist, ist Ihr Server möglicherweise einem erhöhten Risiko für diesen Angriff ausgesetzt.
Remediation für anfällige Geräte
Rackspace Technology empfiehlt dringend die folgenden Maßnahmen:
1- Installieren Sie die Patches vom Mai 2022 von Microsoft wie unter diesem Link empfohlen:
- Für Kunden, die Patching-Lösungen von Rackspace Technology abonniert haben, wird der zugehörige Patch in regelmäßigen Patching-Zeitplänen angewendet.
- Kunden, die die Patching-Lösungen von Rackspace Technology nicht abonniert haben, wird dringend empfohlen, ihre Systeme so bald wie möglich vollständig zu patchen. Kunden können ihre Systeme selbst patchen oder Rackspace kontaktieren, um Unterstützung beim Patchen zu erhalten. Wir werden uns bemühen, Patching-Anfragen zu erfüllen.
2- Wenn die Rolle „Active Directory Certificate Services“ und zugehörige Dienste (d. h. „Certificate Authority Web Enrollment“ ODER „Certificate Enrollment Web Service“) installiert sind, Sie diese Rollen jedoch nicht verwenden, deinstallieren Sie die Rollen mithilfe dieser von Microsoft bereitgestellten Anweisungen.
Bekannte Probleme
Laut Microsoft:„Nach der Installation von Updates, die am 10. Mai 2022 auf Ihren Domänencontrollern veröffentlicht wurden, sehen Sie möglicherweise Authentifizierungsfehler auf dem Server oder Client für Dienste wie Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) und Protected Extensible Authentication Protocol (PEAP). Es wurde ein Problem im Zusammenhang mit der Handhabung der Zuordnung von Zertifikaten zu Computerkonten durch den Domänencontroller festgestellt.“
Sollten nach der Installation der Updates vom Mai 2022 Authentifizierungsprobleme auftreten, hat Microsoft einen Out-of-Band-Fix bereitgestellt, der unter diesem Link beschrieben wird.
Wenn Sie weitere Informationen oder Hilfe zu dieser Schwachstelle benötigen, erstellen Sie ein Support-Ticket oder rufen Sie Ihr Rackspace-Support-Team an.
Verwenden Sie die Registerkarte „Feedback“, um Kommentare abzugeben oder Fragen zu stellen. Sie können auch ein Gespräch mit uns beginnen.