在本月補丁星期二活動日放出的累積更新中,微軟修復了追蹤號為 CVE-2022-26925 的 Windows Local Security Authority (LSA) 欺騙漏洞。這個嚴重性很高的漏洞使未經認證的攻擊者能夠匿名調用一個方法,并迫使域控制器(DC)通過 NTLM 對他們進行認證。在最壞的情況下,這可能導致權限提升,攻擊者控制整個域。
這個漏洞是很重要的,因為美國網絡安全和基礎設施安全局(CISA)曾規定,聯邦民用行政部門機構(FCEB)應在三周內安裝這些更新,以保護自己免受這個攻擊面和其他攻擊。然而,它現在已經取消了這一要求,因為最新的"補丁星期二"更新在安裝到 DC 上時也會引起認證問題。
公告上的說明是這樣的:
在客戶端 Windows 設備和非域控制器 Windows 服務器上安裝 2022 年5月10日發布的更新,不會導致這個問題,仍然強烈鼓勵。這個問題只影響到安裝在作為域控制器的服務器上的2022年5月10日的更新。組織應該繼續對客戶端Windows設備和非域控制器Windows服務器應用更新。
在關于這個問題的咨詢中,微軟說:“在你的域控制器上安裝 2022 年 5 月 10 日發布的更新后,你可能會在服務器或客戶端看到網絡策略服務器(NPS)、路由和遠程訪問服務(RRAS)、Radius、可擴展認證協議(EAP)和受保護可擴展認證協議(PEAP)等服務的認證失敗。已發現一個與域控制器如何處理證書與機器賬戶的映射有關的問題”。
微軟分享了受影響平臺列表
客戶端:
● Windows 11 Version 21H2
● Windows 10 Version 21H2
● Windows 10 Version 21H1
● Windows 10 Version 20H2
● Windows 10 Version 1909
● Windows 10 Version 1809
● Windows 10 Enterprise LTSC 2019
● Windows 10 Enterprise LTSC 2016
● Windows 10 Version 1607
● Windows 10 Enterprise 2015 LTSB
● Windows 8.1
● Windows 7 SP1
服務器:
● Windows Server 2022
● Windows Server Version 20H2
● Windows Server Version 1909
● Windows Server Version 1809
● Windows Server 2019
● Windows Server 2016
● Windows Server 2012 R2
● Windows Server 2012
● Windows Server 2008 R2 SP1
● Windows Server 2008 SP2
這些問題主要是由 Windows Kerberos 和活動目錄域服務的兩個補丁引起的,分別被追蹤為 CVE-2022-26931 和 CVE-2022-26923。而由于不可能在你想安裝的補丁中進行挑選,CISA 不再鼓勵 IT 管理員不在 DC 上安裝5月的補丁星期二。
目前,微軟已經提供了一個解決方法,包括手動映射證書。
同時,微軟還提供了一個臨時解決方案:
這個問題的首選緩解措施是手動將證書映射到活動目錄中的機器賬戶。有關說明,請見證書映射。注意:對于將證書映射到活動目錄中的用戶或機器賬戶,其說明是相同的。
如果首選的緩解措施在你的環境中不起作用,請參見 KB5014754-Windows 域控制器上基于證書的認證變化,了解 Schannel 注冊表密鑰部分的其他可能緩解措施。注意:除了首選的緩解措施,任何其他緩解措施都可能降低或禁用安全加固。
它還強烈強調,應用任何其他緩解措施都可能對你的組織的安全態勢產生負面影響。鑒于CISA不鼓勵FCEB完全在Windows服務器DC上安裝5月補丁星期二的更新,微軟可能希望盡快推出一個更永久的修復方案。
