Microsoft, kimliği doğrulanmamış saldırganların etki alanı denetleyicilerini Windows NT LAN Manager (NTLM) güvenlik protokolü aracılığıyla kimliklerini doğrulamaya zorlamak için uzaktan yararlanabileceği, etkin olarak yararlanılan bir Windows LSA zero-day zafiyeti hakkında bilgilendirme yaptı. CVE-2022-26925 olarak izlenen ve Bertelsmann Printing Group’tan Raphael John tarafından bildirilen güvenlik açığı, public olarak istismar edildi ve PetitPotam NTLM Relay saldırısı için yeni bir vektör gibi görünüyor. Güvenlik araştırmacısı GILLES Lionel tarafından Temmuz 2021’de keşfedilen PetitPotam, Microsoft’un engellemeye çalıştığı birkaç varyasyona sahip. Ancak bu noktada, resmi hafifletmeler ve sonraki güvenlik güncellemeleri tüm PetitPotam vektörlerini tamamen engellemiyor.
Zorunlu kimlik doğrulama yoluyla ayrıcalık yükseltme
Saldırganlar, bu yeni saldırı vektörünü kullanarak, ayrıcalıkları yükseltmek için kullanılabilecek gerçek kimlik doğrulama isteklerini engelleyebilir ve muhtemelen tam etki alanı güvenliğinin ihlal edilmesine izin verebilir. Saldırganlar bu güvenlik açığını yalnızca, ağ iletişimlerini okumak veya değiştirmek için kurban ile bir etki alanı denetleyicisi arasındaki trafiği kesebilmeleri gereken yüksek karmaşıklıktaki ortadaki adam (MITM) saldırılarında kötüye kullanabilirler.
Microsoft, “Bu güvenlik güncelleştirmesi, LSARPC’deki anonim bağlantı girişimlerini algılar ve buna izin vermez. Bu güvenlik açığı tüm sunucuları etkiler, ancak güvenlik güncelleştirmelerini uygulama açısından etki alanı denetleyicilerine öncelik verilmelidir.” dedi. Güncelleştirmelerin yüklenmesi, bazı yedekleme yazılımlarını bozacağından, Windows 7 Service Pack 1 ve Windows Server 2008 R2 Service Pack 1 çalıştıran sistemlerde de dezavantajlarla birlikte geliyor. CVE-2022-26925, Windows 7 ve Windows Server 2008’den Windows 11 ve Windows 2022’ye kadar istemci ve sunucu platformları dahil tüm Windows sürümlerini etkiliyor.
Kaynak: bleepingcomputer.com