Opnieuw Microsoft-patch voor bijna jaar oud gat
De patch voor deze kwetsbaarheid die oorspronkelijk in juli vorig jaar is ontdekt, moet met spoed worden toegepast. Er is nu namelijk sprake van actief misbruik, ofwel aanvallen in de praktijk op kwetsbare Windows-systemen. Cybercriminelen gebruiken een zero-day (CVE-2022-26925) waarmee ze op afstand en zonder authenticatie lokale rechten (LSA, Local Security Authority) weten te spoofen om vervolgens via het NTLM-protocol (NT LAN Manager) diepgaande beheerrechten (op SYSTEM-niveau) te verkrijgen.
Patchen en dan nog aanpassen
Na het installeren van de patch zijn systemen nog niet per se veilig. Microsoft verwijst in de FAQ van zijn securitybulletin nu naar instructies om de standaardconfiguratie van Windows-servers en domain controllers aan te passen. Die instructies zijn van juli vorig jaar toen de oorspronkelijke PetitPotam-kwetsbaarheid is ontdekt. Microsoft heeft toen ook beperkende maatregelen aangedragen om NTLM-aanvallen af te weren. Microsoft was toen niet van plan dit beveiligingsgat te fixen, merkte security-onderzoeker Kevin Beaumont toen op.
De Windows-maker is daar in augustus toch op teruggekomen en heeft toen een patch uitgebracht. Daar komt nu een nieuwe patch bij, voor wat in wezen een PetitPotam-variant is. Microsoft stelt dat een aanval via deze kwetsbaarheid complex is, waardoor het gevaar relatief wat minder groot zou zijn. Toch is er in de praktijk al sprake van actief misbruik. Beheerders krijgen dan ook het advies om deze patch vlot door te voeren, en om daarbij domain controllers voorrang te geven boven gewone servers. Naast Windows Server (sinds versie 2008) zijn ook de clientuitvoeringen van Windows (sinds versie 7) vatbaar.
Berg patches, ook voor printspooler
Ondertussen heeft de lading patches voor de maand mei nog veel meer updates voor vele andere Microsoft-producten gebracht. Naast besturingssysteem Windows en beheersoftware Active Directory betreft dit onder meer bestandssysteem NTFS, dataversleutelingssoftware BitLocker, mail- en agendasoftware Exchange Server, applicatiepakket Office, ontwikkelpakket Visual Studio, en ook de Print Spooler Components in Windows.
Laatstgenoemde is sinds juni vorig jaar verantwoordelijk voor aanhoudende securityproblemen die de naam PrintNightmare hebben gekregen. Ook nu spelen er nieuwe problemen met de printspooler ingebouwd in Windows. Patch Tuesday brengt nu fixes voor twee kwetsbaarheden waarlangs informatie valt buit te maken (CVE-2022-29114 en CVE-2022-29140), plus twee kwetsbaarheden waarmee aanvallers zich hogere rechten kunnen toekennen (CVE-2022-29104 en CVE-2022-29132).
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee