Microsoft heeft tijdens de patchdinsdag van mei in totaal 74 kwetsbaarheden verholpen, waaronder een actief aangevallen zerodaylek in Windows. Volgens Microsoft gaat het om een kwetsbaarheid in de Windows LSA (Local Security Authority), aangeduid als CVE-2022-26925, die spoofing mogelijk maakt.
Via het spoofinglek kan een ongeauthenticeerde aanvaller een domeincontroller dwingen om zich via NTLM bij een andere server te authenticeren. Om misbruik van de kwetsbaarheid te kunnen maken is een man-in-the-middle-positie vereist, waarbij de aanvaller tussen de aangevallen server en de opgegeven server zit. Volgens onderzoekers gaat het om de PetitPotam-kwetsbaarheid die vorig jaar augustus door Microsoft werd verholpen, maar tussen december en maart van dit jaar zou zijn geherintroduceerd.
Microsoft heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 beoordeeld met een 8.1. Als het spoofinglek wordt gecombineerd met andere NTLM relay-aanvallen op Active Directory Certificate Services (AD CS) gaat de impactscore naar 9.8, aldus Microsoft. Het beveiligingslek was door een onderzoeker van de Bertelsmann Printing Group gevonden en gerapporteerd.
Naast het installeren van de beveiligingsupdate wijst Microsoft systeembeheerders ook naar KB5005413 en Advisory ADV210003 waarin maatregelen worden beschreven om NTLM relay-aanvallen te voorkomen. Het installeren van de beveiligingsupdates zal op de meeste systemen automatisch gebeuren.
Deze posting is gelocked. Reageren is niet meer mogelijk.