Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft een actief aangevallen spoofinglek in Windows wegens problemen tijdelijk van een lijst met verplicht te installeren beveiligingsupdates voor federale overheidinstanties gehaald. Afgelopen dinsdag kwam Microsoft met een patch voor de kwetsbaarheid, waar op dat moment al actief misbruik van werd gemaakt.
Het gaat om een kwetsbaarheid in de Windows LSA (Local Security Authority), aangeduid als CVE-2022-26925, die spoofing mogelijk maakt. Via het spoofinglek kan een ongeauthenticeerde aanvaller een domeincontroller dwingen om zich via NTLM bij een andere server te authenticeren. Om misbruik van de kwetsbaarheid te kunnen maken is een man-in-the-middle-positie vereist, waarbij de aanvaller tussen de aangevallen server en de opgegeven server zit.
Volgens onderzoekers gaat het om de PetitPotam-kwetsbaarheid die vorig jaar augustus door Microsoft werd verholpen, maar tussen december en maart van dit jaar zou zijn geherintroduceerd. Wanneer de update op domeincontrollers wordt geïnstalleerd kunnen organisaties met authenticatieproblemen op de server of client voor services te maken krijgen, zoals Network Policy Server (NPS), Routing and Remote access Service (RRAS), het Radius, Extensible Authentication Protocol (EAP) en het Protected Extensible Authentication Protocol (PEAP).
Microsoft heeft het CISA over het probleem ingelicht, wat heeft te maken met de manier waarop de domeincontroller omgaat met certificaten voor machine-accounts. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem verplicht moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid.
Na het verschijnen van de Windows-update voor CVE-2022-26925 kwam het CISA ook met een deadline voor het installeren van de betreffende update voor dit beveiligingslek. Vanwege de problemen is de beveiligingsupdate nu tijdelijk van de lijst verwijderd. Het CISA merkt op dat het probleem zich alleen voordoet bij servers die als domeincontroller worden gebruikt. Organisaties wordt aangeraden om Windows-clients en servers die niet als domeincontroller fungeren wel te patchen.
Deze posting is gelocked. Reageren is niet meer mogelijk.