VS verwijdert Windows-update wegens problemen van verplichte patchlijst
Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft een actief aangevallen spoofinglek in Windows wegens problemen tijdelijk van een lijst met verplicht te installeren beveiligingsupdates voor federale overheidinstanties gehaald. Afgelopen dinsdag kwam Microsoft met een patch voor de kwetsbaarheid, waar op dat moment al actief misbruik van werd gemaakt.
Het gaat om een kwetsbaarheid in de Windows LSA (Local Security Authority), aangeduid als CVE-2022-26925, die spoofing mogelijk maakt. Via het spoofinglek kan een ongeauthenticeerde aanvaller een domeincontroller dwingen om zich via NTLM bij een andere server te authenticeren. Om misbruik van de kwetsbaarheid te kunnen maken is een man-in-the-middle-positie vereist, waarbij de aanvaller tussen de aangevallen server en de opgegeven server zit.
Volgens onderzoekers gaat het om de PetitPotam-kwetsbaarheid die vorig jaar augustus door Microsoft werd verholpen, maar tussen december en maart van dit jaar zou zijn geherintroduceerd. Wanneer de update op domeincontrollers wordt geïnstalleerd kunnen organisaties met authenticatieproblemen op de server of client voor services te maken krijgen, zoals Network Policy Server (NPS), Routing and Remote access Service (RRAS), het Radius, Extensible Authentication Protocol (EAP) en het Protected Extensible Authentication Protocol (PEAP).
Microsoft heeft het CISA over het probleem ingelicht, wat heeft te maken met de manier waarop de domeincontroller omgaat met certificaten voor machine-accounts. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem verplicht moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid.
Na het verschijnen van de Windows-update voor CVE-2022-26925 kwam het CISA ook met een deadline voor het installeren van de betreffende update voor dit beveiligingslek. Vanwege de problemen is de beveiligingsupdate nu tijdelijk van de lijst verwijderd. Het CISA merkt op dat het probleem zich alleen voordoet bij servers die als domeincontroller worden gebruikt. Organisaties wordt aangeraden om Windows-clients en servers die niet als domeincontroller fungeren wel te patchen.
#observator
De kop geeft een heel andere indruk.
De kop geeft een heel andere indruk.
De kop geeft een heel andere indruk.
Helaas weet ik niet wat de connectie is tussen deze twee.
Helaas weet ik niet wat de connectie is tussen deze twee.
Wellicht even deze door nemen? hopelijk helpt dat jullie om het toch iets strakker in te stellen?
https://msrc.microsoft.com/update-guide/vulnerability/ADV210003
https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
