GNU/Linux >> Tutoriels Linux >  >> Linux

Vulnérabilité d'usurpation LSA Windows CVE-2022-26925

CVE-2022-26925 est une faiblesse dans le composant central de la sécurité Windows (le processus « Autorité de sécurité locale » dans Windows) qui, lorsqu'elle est exploitée, permet aux attaquants d'effectuer une attaque de type "man-in-the-middle" pour forcer les contrôleurs de domaine à s'authentifier auprès du l'attaquant utilisant l'authentification NTLM. Lorsqu'il est utilisé en conjonction avec une attaque de relais NTLM, il existe un risque d'exécution de code à distance.

Selon Microsoft, "Un attaquant non authentifié pourrait appeler une méthode sur l'interface LSARPC et contraindre le contrôleur de domaine à s'authentifier auprès de l'attaquant à l'aide de NTLM."

Microsoft a qualifié cette vulnérabilité d'importante et lui a attribué un score CVSS (danger) de 8,1 (10 étant le pire), bien que Microsoft note que le score CVSS peut atteindre 9,8 dans certaines situations.

Pour qu'un attaquant profite de cette vulnérabilité, il doit déjà avoir accès au chemin réseau logique entre le client et la ressource pour effectuer une attaque de l'homme du milieu.

Identification des appareils vulnérables

Selon Microsoft, "Ce bogue affecte toutes les versions prises en charge de Windows, mais les contrôleurs de domaine doivent être corrigés en priorité avant de mettre à jour d'autres serveurs."

Un effort particulier doit être fait pour donner la priorité à la correction de cette vulnérabilité sur les appareils qui sont à la fois des contrôleurs de domaine et vulnérables aux attaques de relais NTLM. La gravité de la vulnérabilité de ces appareils est supérieure à 9,8.

Les contrôleurs de domaine sont potentiellement vulnérables aux attaques de relais NTLM lorsque les composants suivants des services de certificats Active Directory (AD CS) sont présents :

  • Inscription Web de l'autorité de certification
  • Service Web d'inscription aux certificats

Vous pouvez identifier si les services susmentionnés sont présents sur votre serveur Windows en utilisant la méthode suivante :

  • Ouvrez une invite PowerShell et exécutez la commande suivante :
Get-WindowsFeature *ad-certificate*, *adcs*

Si "Active Directory Certificate Services" est sélectionné dans les résultats ET "Certificate Authority Web Enrollment" OU "Certificate Enrollment Web Service" est sélectionné, votre serveur est potentiellement plus exposé à cette attaque.

Remédiation pour les appareils vulnérables

Rackspace Technology recommande fortement les actions suivantes :

1- Installez les correctifs de mai 2022 de Microsoft comme recommandé dans ce lien :

  • Pour les clients abonnés aux solutions de correctifs de Rackspace Technology, le correctif associé sera appliqué selon des calendriers de correctifs réguliers.
  • Les clients qui ne sont pas abonnés aux solutions de correctifs de Rackspace Technology sont fortement encouragés à corriger entièrement leurs systèmes dès que possible. Les clients peuvent corriger eux-mêmes leurs systèmes ou contacter Rackspace pour recevoir de l'aide avec les correctifs. Nous ferons tout notre possible pour répondre aux demandes de correctifs.

2- Si le rôle "Active Directory Certificate Services" et les services associés (c'est-à-dire "Certificate Authority Web Enrollment" OU "Certificate Enrollment Web Service") sont installés mais que vous n'utilisez pas ces rôles, désinstallez les rôles en suivant ces instructions fournies par Microsoft.

Problèmes connus

Selon Microsoft, "Après avoir installé les mises à jour publiées le 10 mai 2022 sur vos contrôleurs de domaine, vous pouvez voir des échecs d'authentification sur le serveur ou le client pour des services tels que Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Protocole d'authentification (EAP) et Protocole d'authentification extensible protégé (PEAP). Un problème lié à la manière dont le mappage des certificats aux comptes de machine est géré par le contrôleur de domaine a été détecté."

Si vous rencontrez des problèmes d'authentification après l'installation des mises à jour de mai 2022, Microsoft a fourni un correctif hors bande détaillé dans ce lien.

Si vous avez besoin d'informations supplémentaires ou d'assistance concernant cette vulnérabilité, créez un ticket d'assistance ou appelez votre équipe d'assistance Rackspace.


Utilisez l'onglet Commentaires pour faire des commentaires ou poser des questions. Vous pouvez également démarrer une conversation avec nous.


Linux

  1. Trois commandes pour trouver les serveurs de noms faisant autorité d'un domaine - Linux/Mac/Windows

  2. Microsoft Hyper-V ou VMWare ?

  3. Qu'est-ce que la vulnérabilité du pilote de police CVE-2015-2426 ?

  4. Diagnostics de disque faible Windows

  5. Vulnérabilité d'usurpation LSA Windows CVE-2022-26925

Installer les polices Microsoft Windows dans Ubuntu 18.04 LTS

Comment :configurer Active Directory dans Windows Server 2012

Comment :joindre un serveur Windows 2012 à un domaine

Installer les services de domaine Active Directory sur Windows Server 2008 R2 Entreprise 64 bits

Installer Active Directory sur Windows Server 2012

Comment obtenir un nom de domaine sous Windows à l'aide de la commande ?