CVE-2022-26925 es una debilidad en el componente central de la seguridad de Windows (el proceso de "Autoridad de seguridad local" dentro de Windows) que, cuando se explota, permite a los atacantes realizar un ataque de intermediario para obligar a los controladores de dominio a autenticarse en el atacante usando la autenticación NTLM. Cuando se usa junto con un ataque de retransmisión NTLM, existe la posibilidad de ejecución remota de código.
Según Microsoft, "un atacante no autenticado podría llamar a un método en la interfaz LSARPC y obligar al controlador de dominio a autenticarse ante el atacante mediante NTLM".
Microsoft calificó esta vulnerabilidad como importante y le asignó una puntuación CVSS (peligro) de 8,1 (siendo 10 la peor), aunque Microsoft señala que la puntuación CVSS puede llegar a 9,8 en determinadas situaciones.
Para que un atacante aproveche esta vulnerabilidad, ya debe tener acceso a la ruta de red lógica entre el cliente y el recurso para realizar un ataque de intermediario.
Identificación de Dispositivos Vulnerables
Según Microsoft, "este error afecta a todas las versiones compatibles de Windows, pero los controladores de dominio deben parchearse con prioridad antes de actualizar otros servidores".
Se debe hacer un esfuerzo especial para priorizar la reparación de esta vulnerabilidad en los dispositivos que son controladores de dominio y vulnerables a los ataques de retransmisión NTLM. La gravedad de la vulnerabilidad para estos dispositivos es superior a 9,8.
Los controladores de dominio son potencialmente vulnerables a los ataques de retransmisión NTLM cuando están presentes los siguientes componentes de Active Directory Certificate Services (AD CS):
- Inscripción web de la autoridad de certificación
- Servicio web de inscripción de certificados
Puede identificar si los servicios antes mencionados están presentes en su Windows Server utilizando el siguiente método:
- Abra un indicador de PowerShell y ejecute el siguiente comando:
Get-WindowsFeature *ad-certificate*, *adcs*
Si se selecciona "Servicios de certificados de Active Directory" en los resultados Y se selecciona "Inscripción web de autoridad de certificación" O "Servicio web de inscripción de certificados", su servidor corre un mayor riesgo potencial de sufrir este ataque.
Remediación para dispositivos vulnerables
Rackspace Technology recomienda enfáticamente las siguientes acciones:
1- Instale los parches de mayo de 2022 de Microsoft como se recomienda en este enlace:
- Para los clientes suscritos a las soluciones de parches de Rackspace Technology, el parche asociado se aplicará en los programas regulares de parches.
- Se recomienda encarecidamente a los clientes que no estén suscritos a las soluciones de parches de Rackspace Technology que parchen completamente sus sistemas lo antes posible. Los clientes pueden parchear sus sistemas ellos mismos o comunicarse con Rackspace para recibir asistencia con el parcheo. Haremos todo lo posible para acomodar las solicitudes de parches.
2- Si la función "Servicios de certificados de Active Directory" y los servicios asociados (es decir, "Inscripción web de autoridad de certificación" O "Servicio web de inscripción de certificados") están instalados pero no está utilizando estas funciones, desinstálelas siguiendo estas instrucciones proporcionadas por Microsoft.
Problemas conocidos
Según Microsoft, “después de instalar las actualizaciones lanzadas el 10 de mayo de 2022 en sus controladores de dominio, es posible que vea fallas de autenticación en el servidor o el cliente para servicios como Network Policy Server (NPS), Servicio de enrutamiento y acceso remoto (RRAS), Radius, Extensible Protocolo de autenticación (EAP) y Protocolo de autenticación extensible protegido (PEAP). Se ha encontrado un problema relacionado con la forma en que el controlador de dominio maneja la asignación de certificados a cuentas de máquina”.
Si experimenta problemas de autenticación después de la instalación de las actualizaciones de mayo de 2022, Microsoft ha proporcionado una solución fuera de banda que se detalla en este enlace.
Si necesita más información o asistencia con respecto a esta vulnerabilidad, genere un ticket de soporte o llame a su equipo de soporte de Rackspace.
Use la pestaña Comentarios para hacer cualquier comentario o hacer preguntas. También puede iniciar una conversación con nosotros.