美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局：域控制器不要安裝微軟 Windows 5 月“星期二補(bǔ)丁”更新

IT之家 5 月 17 日消息，據(jù) Neowin 報(bào)道，微軟使用其最新的“星期二補(bǔ)丁”更新修補(bǔ)了在 CVE-2022-26925 下跟蹤的 Windows 本地安全機(jī)構(gòu) (LSA) 欺騙漏洞。高嚴(yán)重性漏洞使未經(jīng)身份驗(yàn)證的攻擊者能夠匿名調(diào)用方法并強(qiáng)制域控制器 (DC) 通過(guò) NTLM 對(duì)其進(jìn)行身份驗(yàn)證。在最壞的情況下，這可能會(huì)導(dǎo)致特權(quán)提升和攻擊者控制整個(gè)域。

詳細(xì)說(shuō)明此漏洞很重要，因?yàn)槊绹?guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 已要求聯(lián)邦民事執(zhí)行部門(mén)機(jī)構(gòu) (FCEB) 應(yīng)在三周內(nèi)安裝這些更新，以保護(hù)自己免受此攻擊面和其他攻擊。但是，它現(xiàn)在已刪除此要求，因?yàn)樽钚碌摹靶瞧诙a(bǔ)丁”更新在安裝在 DC 上時(shí)也會(huì)導(dǎo)致身份驗(yàn)證問(wèn)題。

這些問(wèn)題主要是由 Windows Kerberos 和 Active Directory 域服務(wù)的兩個(gè)補(bǔ)丁引起的，分別跟蹤為 CVE-2022-26931 和 CVE-2022-26923。由于無(wú)法在要安裝的補(bǔ)丁之間進(jìn)行選擇，CISA 不再鼓勵(lì) IT 管理員在 DC 上安裝 5 月“星期二補(bǔ)丁”。公告上的注釋如下：

“在客戶端 Windows 設(shè)備和非域控制器 Windows 服務(wù)器上安裝 2022 年 5 月 10 日發(fā)布的更新不會(huì)導(dǎo)致此問(wèn)題，仍然強(qiáng)烈建議。此問(wèn)題僅影響安裝在用作域控制器的服務(wù)器上的 2022 年 5 月 10 日更新。組織應(yīng)繼續(xù)將更新應(yīng)用到客戶端 Windows 設(shè)備和非域控制器 Windows 服務(wù)器?！?/p>

目前，微軟提供了一種涉及手動(dòng)映射證書(shū)的解決方法。該公司還強(qiáng)調(diào)，應(yīng)用任何其他緩解措施可能會(huì)對(duì)組織的安全狀況產(chǎn)生負(fù)面影響。

鑒于 CISA 不鼓勵(lì) FCEB 完全在 Windows Server DC 上安裝 5 月“星期二補(bǔ)丁”更新，微軟可能希望盡快推出更永久的修復(fù)程序。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。