Microsoft исправила уязвимость спуфинга Windows Local Security Authority (LSA), отслеживаемую под CVE-2022-26925, с помощью своих последних обновлений во вторник. Уязвимость высокой степени серьезности позволяла злоумышленникам, не прошедшим проверку подлинности, анонимно вызывать метод и заставлять контроллер домена (DC) аутентифицировать их через NTLM. В худшем случае это может привести к повышению привилегий и захвату злоумышленником всего вашего домена.
Подробное описание этой уязвимости важно, поскольку Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) поручило федеральным агентствам гражданской исполнительной власти (FCEB) установить эти обновления в течение трех недель, чтобы защитить себя от этой поверхности атаки и других. Однако теперь это требование было удалено, потому что последние обновления исправлений во вторник также вызывают проблемы с аутентификацией при установке на контроллеры домена.
Эти проблемы в основном вызваны двумя исправлениями для Windows Kerberos и доменных служб Active Directory, отслеживаемых как CVE-2022-26931 и CVE-2022-26923 соответственно. И поскольку невозможно выбирать между теми исправлениями, которые вы хотите установить, CISA больше не рекомендует ИТ-администраторам устанавливать майские обновления на контроллерах домена. Примечание к объявлению гласит :
Установка обновлений, выпущенных 10 мая 2022 г., на клиентских устройствах Windows и серверах Windows, не являющихся контроллерами домена, не вызовет этой проблемы и по-прежнему настоятельно рекомендуется. Эта проблема затрагивает только обновления от 10 мая 2022 г., установленные на серверах, используемых в качестве контроллеров домена. Организации должны продолжать применять обновления к клиентским устройствам Windows и серверам Windows, не являющимся контроллерами домена.
На данный момент Microsoft предоставила обходной путь, который включает ручное сопоставление сертификатов. Также особо подчеркивается, что применение любых других мер по снижению риска может негативно сказаться на состоянии безопасности вашей организации.
Учитывая, что CISA не рекомендует FCEB полностью устанавливать обновление May Patch Tuesday на контроллеры домена Windows Server, Microsoft, вероятно, захочет как можно скорее выпустить более постоянное исправление.
