Microsoft fixes new NTLM relay zero-day in all Windows versions
2022/05/10 BleepingComputer — Microsoft は、未認証の攻撃者がリモートから悪用し、Windows NT LAN Manager (NTLM) セキュリティ・プロトコルを介して、ドメイン・コントローラに強制的に認証させるという、Windows LSA スプーフィングのゼロデイ脆弱性に積極的に対処している。この LSA (Local Security Authority) とは、ローカル・セキュリティ・ポリシーを実施し、ローカル/リモートでのサインイン時にユーザーを認証する、保護された Windows サブシステムのことである。
この脆弱性 CVE-2022-26925 は、Bertelsmann Printing Group の Raphael John により報告されたが、実際に悪用されており、PetitPotam NTLM リレー攻撃の新しいベクターになるようだ。
2021年7月にセキュリティ研究者である GILLES Lionel が発見した、PetitPotam にはいくつかのバリエーションがあるため、それらを Microsoft はブロックしてきた。しかし、現時点では、公式の緩和策やセキュリティ・アップデートでは、すべての PetitPotam ベクターを完全にはブロックできていない。
LockFile ランサムウェアの運営者は、PetitPotam の NTLM リレー攻撃手法を悪用し、Windows ドメインを乗っ取り、また、悪質なペイロードを展開している。そのため、Microsoft は Windows 管理者に対して、CVE-2022-26925 攻撃からシステムを保護するための詳細情報として、PetitPotam の緩和策と、Active Directory Certificate Services (AD CS) の NTLMリレー攻撃に対する緩和策を、確認するよう助言している。
強制認証による特権昇格
この新しい攻撃ベクター使用すると、脅威者が正規の認証要求を傍受して特権昇格し、そのドメインを完全に侵害する可能性が生じる。ただし、このセキュリティ上の欠陥を攻撃者が悪用できるのは、被害者とドメイン・コントローラー間のトラフィックを傍受し、ネットワーク通信を読取/変更できる、複雑な中間者 (MITM) 攻撃においてのみとなる。
今日の Microsoft アドバイザリは、「認証されていない攻撃者は、LSARPC インターフェイスのメソッドを呼び出し、NTLM を解することで、ドメイン・コントローラーに 攻撃者を認証させることが可能だ。このセキュリティ更新プログラムは、LSARPC における匿名接続の試行を検出し、それを無効にする。この脆弱性は、すべてのサーバーに影響を及ぼすため、セキュリティ更新プログラムではドメイン・コントローラーを優先する必要がある」と説明している。
なお、これらの更新プログラムをインストールすると、Windows 7 Service Pack 1 および Windows Server 2008 R2 Service Pack 1 を実行しているシステムでは、一部のベンダーが提供しているバックアップ・ソフトウェアが壊れるというデメリットが生じるようだ。
繰り返しになるが、脆弱性 CVE-2022-26925 は、Windows 7/Windows Server 2008 から Windows 11/Windows 2022 にいたるまでの、すべてのクライアント/サーバーを含む Windows バージョンに影響を及ぼす。
Microsoft は、このゼロデイ脆弱性と、Windows Hyper-V におけるサービス拒否の脆弱性に CVE-2022-22713 と、Magnitude Simba Amazon Redshift ODBC Driverの脆弱性に CVE-2022-29972 に対して、May 2022 Patch Tuesday の一部としてパッチ適用している。
この記事は 5月10日の火曜日に、つまり、May 2022 Patch Tuesday の日にポストされており、PetitPotam NTLM リレー攻撃の新しいベクターである、脆弱性 CVE-2022-26925 が FIX したとされています。しかし、その後の CISA warns not to install May Windows updates on domain controllers に記されるように、このパッチをWindows Server ドメイン・コントローラに導入すると、サービス認証に問題が生じるようであり、CISA としても、一度は悪用脆弱性リスト (KEV) に載せた CVE-2022-26925 を削除しているようです。その点に、ご注意ください。この CISA の対応についても、翻訳が上がり次第、掲載します。
IoT OT Security News 