文件系统安全周报第91期 | 微软在所有Windows版本中修复了全新NTLM中继0day漏洞

时间：2023-04-11 12:18:19

1. 开发者在所有Windows新版本中会大修了全新NTLM时间延迟0day防火墙（5.10）

开发者大修了一个被广泛利用的Windows LSA欺骗0day防火墙，未经IP端的操作者可以远程利用该防火墙致使可定义控制器通过Windows NT LAN Manager (NTLM)必需双方同意对其进行时IP端。

去向

LSA (本地必需许可证)是一个除此以外的Windows子系统，它执行本地必需策略，并对本地和远程登录的使用者进行时验证。

该0day防火墙（CVE-2022-26925），由贝塔斯曼印刷集团的Raphael John简报，已经遭到在野利用，且与PetitPotam NTLM时间延迟偷袭有关。

PetitPotam由必需研究员GILLES Lionel于2021年7年初见到，拥有一些开发者一直想要护甲的变体，但官方的减轻紧急措施和其后的必需系统升级并需实质上致使所有PetitPotam核酸。

LockFile恐吓该软件曾滥用PetitPotam NTLM时间延迟偷袭方法劫持Windows可定义和部署不当负载。

开发者促请Windows系统管理员查看针对Active Directory证书客户服务(AD CS)的NTLM时间延迟偷袭的PetitPotam修补紧急措施，以明了非常多关于CVE-2022-26925偷袭的护甲数据。

应用于这种新的偷袭目的，操作者可以回击能用于强化权的合法IP端请求，很也许加剧全可定义沦陷。

操作者不能在相对于复杂的中会间人(MITM)偷袭中会滥用这个必需防火墙，他们需能够回击受害者和可定义控制器错综复杂的通信，以读取或删减网络系统。

“未经IP端的操作者可以绑定LSARPC模块上的一个方法，并强迫可定义控制器应用于NTLM向操作者进行时IP端，”开发者在公开发表的日前中会暗示道。

"此次必需系统升级将检测LSARPC中会的匿名连接起来并进行时致使。这个防火墙将直接影响到所有IP，但在应用必需系统升级时应应将顾虑可定义控制器。”

内置必需系统升级对运行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1的系统中会以外厂商的备用该软件带来直接影响。

概述链接

_view=true

2. 开发者五年初必需系统升级也许加剧AD证书收场（5.12）

开发者正在实地调查内置本年初周四的软件日公开发表的的软件后加剧的Windows客户服务的IP端收场彻底解决办法。

去向

Windows系统管理员见到一些使用者在内置本年初的必需的软件后浮现 “由于使用者凭证不转换证书收场”的情况下，即共享的网址不无法转换到除此以外Gmail或密码不正确。

开发者暗示，“在可定义控制器上内置了本年初的软件日公开发表的系统升级后，也许可能会浮现IP或应用程序对网络策略IP(NPS)、IPv和远程访问客户服务(RRAS)、Radius、可扩张证书双方同意(EAP)和除此以外的可扩张证书双方同意(PEAP)等客户服务的证书收场。”

该彻底解决办法直接影响应用程序和IP的WindowsSDK以及运行所有Windows新版本的系统，之外当前的能用新版本(Windows 11和Windows server 2022)。

开发者暗示，只有在作为可定义控制器的IP上内置系统升级后，才可能会激活这个情况下。当部署在应用程序Windows电源和无可定义控制器WindowsIP上时，系统升级的软件不可能会带来直接影响。

开发者暗示引述，该客户服务IP端彻底解决办法是由针对CVE-2022-26931和CVE-2022-26923的必需系统升级引起的，除此以外系统升级针对的是Windows Kerberos和Active Directory可定义客户服务中会的权防火墙。

开发者正在实地调查该彻底解决办法，并将在即将公开发表的新版本中会彻底解决这个彻底解决办法。在正式彻底解决该彻底解决办法先前，开发者促请手动将证书转换到Active Directory中会的计算机Gmail。

“如果首选减轻紧急措施在您的状况中会无法兼职，请参阅‘Windows可定义控制器上基于证书的IP端非常改’，以在通道注册表键以外明了其他也许的大修紧急措施。”

概述链接