ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Mayıs 2022 güncellemelerinin neden olduğu Active Directory (AD) kimlik doğrulama sorunları nedeniyle bilinen sömürülen güvenlik açıkları kataloğundan bir Windows güvenlik kusurunu kaldırdı.
Bu güvenlik hatası, yeni bir Petitpotam Windows NTLM röle saldırı vektörü olarak onaylanan CVE-2022-26925 olarak izlenen sıfır gün aktif olarak sömürülen bir Windows LSA sahtekarlığıdır.
Kimlik dışı saldırganlar, etki alanı denetleyicilerini Windows NT LAN Manager (NTLM) güvenlik protokolü aracılığıyla uzaktan kimlik doğrulaması için zorlamak ve muhtemelen tüm Windows alanı üzerinde kontrol kazanmak için CVE-2022-26925'i kötüye kullanırlar.
Microsoft, Salı günü Mayıs 2022 yamasında yayınlanan güvenlik yamalarının bir parçası olarak 74 diğer güvenlik kusuru (ikisi de sıfır gün) ile birlikte yamaladı.
Bununla birlikte, Windows Kerberos ve Active Directory Etki Alanı Hizmetlerindeki (CVE-2022-26931 ve CVE-2022-26923 olarak izlenen) iki ayrıcalık güvenlik açıkları için yamalar da Windows Server etki alanı denetleyicilerine dağıtıldığında hizmet kimlik doğrulama sorunlarına neden olacaktır.
Bilinen sömürülen güvenlik açığı kataloğundan çıkarılmadan önce, tüm Federal Sivil Yürütme Şube Ajansları (FCEB) ajanslarının, BOD 22-01 Bağlayıcı Operasyonel Direktifine göre, güvenlik güncellemelerini üç hafta içinde (1 Haziran 2022'ye kadar) uygulamaları gerekiyordu. Kasım 2021.
Microsoft artık Salı günü Patch sırasında ele aldığı her güvenlik sorunu için ayrı yükleyiciler sağlamadığından, bu ayın güvenlik güncellemelerini yüklemek de reklam bilgisi sorunlarını tetikleyecektir, çünkü yöneticiler güvenlik güncellemelerinden yalnızca birini yüklemeyi seçemez (yani, ele alınacaktır yeni Petitpotam saldırı vektörü).
CISA'nın belirttiği gibi, "10 Mayıs 2022'de yayınlanan güncellemelerin kurulumu, istemci Windows cihazlarına ve alan dışı denetleyici Windows sunucuları bu soruna neden olmayacak ve hala güçlü bir şekilde teşvik edilecektir."
Siber güvenlik ajansı, "Bu sorun yalnızca etki alanı denetleyicileri olarak kullanılan sunuculara yüklenen 10 Mayıs 2022 güncellemelerini etkiler. Kuruluşlar, istemci Windows cihazlarına ve alan dışı denetleyici Windows sunucularına güncellemeleri uygulamaya devam etmelidir."
Microsoft, bu ayki güvenlik güncellemelerinin yüklenmesinin neden olduğu reklam bilgisi sorunlarını ele almak için resmi bir güncelleme yayınlayana kadar, şirket Sertifikaları Active Directory'deki bir makine hesabıyla manuel olarak eşleştirmenizi önerir.
Şirket, "Tercih edilen azaltma ortamınızda işe yaramazsa, lütfen Schannel Kayıt Defteri Anahtarı bölümündeki diğer olası hafifletmeler için lütfen 'KB5014754-Windows Domain Denetleyicilerindeki Koruyucu Tabanlı Kimlik Doğrulama Değişiklikleri'ne bakın." Dedi.
Diyerek şöyle devam etti: "Tercih edilen hafifletmeler dışında başka herhangi bir hafifletme, güvenlik sertleşmesini düşürebilir veya devre dışı bırakabilir."
Bununla birlikte, Windows yöneticileri, bu bilinen bu konudan etkilenen kullanıcılar için kimlik doğrulamasını geri yüklemek için BleepingComputer ile paylaştı.
Bunlardan biri, Mayıs 2022 Windows güncellemesini yükledikten sonra oturum açabilmelerinin tek yolunun, StrongCertificatEbindingEnformencement tuşunu 0 olarak ayarlayarak devre dışı bırakmak olduğunu söylüyor.
Sistemlerinizdeki kayıt defterinde mevcut değilse, bir reg_dword veri türünü kullanarak sıfırdan oluşturabilir ve güçlü sertifika eşleme kontrolünü devre dışı bırakmak için 0 olarak ayarlayabilirsiniz (Microsoft tarafından önerilmemesine rağmen, tüm kullanıcılara izin vermenin tek yolu budur. bazı ortamlarda giriş yapmak).
Microsoft: Windows güncellemeleri reklam kimlik doğrulama hatalarına neden olabilir
Microsoft: Windows 7 Kurtarma Uygulaması Ocak güncellemelerinden sonra başarısız olur
Microsoft, Windows Mavi Ekranlara neden olan Bluetooth sorununu düzeltiyor
Microsoft: Windows Server 20H2 Ağustos ayında hizmetin sonuna ulaştı
Sophos Antivirus sürücüsü Windows KB5013943 güncellemesinden sonra BSOD'lara neden oldu
Kaynak: Bleeping Computer