Microsoft fixt (PetitPotam) NTLM Relay-Schwachstelle (CVE-2022-26925) mit Windows Mai 2022-Update

Windows[English]Noch ein Nachtrag von dieser Woche: Zum Patchday hat Microsoft am 10. Mai 2022 mit seinen Sicherheitsupdate für Windows einige Schwachstellen geschlossen. Eine Schwachstelle (CVE-2022-26925, Windows LSA Spoofing) betrifft NTLM Relay-Angriffe auf Systeme. Die Updates sind ein weiterer Fix der in 2021 bekannt gewordenen PetitPotam-Schwachstelle. Inzwischen wird die Schwachstelle für Angriffe auf das Active Directory ausgenutzt. Es sollte zeitnah gepatcht werden – aber die Update-Kollateralschäden stehen dem in manchen Fällen im Weg.

Windows LSA Spoofing Schwachstelle CVE-2022-26925

Im Blog-Beitrag Microsoft Security Update Summary (10. Mai 2022) hatte ich bereits erwähnt, dass die Windows LSA Spoofing-Schwachstelle CVE-2022-26925 durch die Sicherheitsupdates geschlossen wird. Über diese Schwachstelle könnte ein nicht authentifizierter Angreifer eine Methode der LSARPC-Schnittstelle aufrufen und Domänencontroller dazu zwingen, sich mit NTLM beim Angreifer zu authentifizieren.

Diese Sicherheitsanfälligkeit betrifft alle Server, aber Domänencontroller sollten bei der Anwendung von Sicherheitsupdates vorrangig behandelt werden. Wenn das betreffende Sicherheitsupdate installiert ist, erkennt diese anonyme Verbindungsversuche in LSARPC und lässt sie nicht zu. Microsoft hat Updates für folgende Windows-Versionen zum Schließen der Schwachstelle bereitgestellt.

  • KB5014012: Monthly Rollup for Windows Server 2008 R2 SP1; Windows 7 SP1
  • KB5013999: Security Only for Windows Server 2008 R2 SP1; Windows 7 SP1
  • KB5014010: Monthly Rollup for Windows Server 2008 SP2
  • KB5014006: Security Only for Windows Server 2008 SP2
  • KB5014011: Monthly Rollup for Windows Server 2012 R2; Windows 8.1
  • KB5014001: Security Only for Windows Server 2012 R2; Windows 8.1
  • KB5014017: Monthly Rollup for Windows Server 2012
  • KB5014018: Security Only for Windows Server 2012
  • KB5013963: Windows 10 Version 1507
  • KB5013952: Windows Server 2016; Windows 10 Version 1607
  • KB5013941: Windows Server 2019; Windows 10 Version 1809
  • KB5013942: Windows Server Version 20H2, Windows 10 Version 20H2-21H2
  • KB5013943: Windows 11
  • KB5013944: Windows Server 2022
  • KB5013945: Windows 10 Version 1909

Microsoft hat zudem den Beitrag ADV210003 Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS) zum Schützen der Systeme vor solchen Angriffen veröffentlicht. Weiterhin gibt es noch Supportbeitrag KB5005413: Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS) zum Thema.

Die häufig in Sicherungssoftware verwendete EFS-API OpenEncryptedFileRaw(A/W funktioniert nach Installation des Sicherheitsupdates nicht mehr unter Windows Server 2008 SP2.

Domain-Controller bevorzugt patchen

Die Schwachstelle hat einen CVSS-Wert von 9.8 erhalten, ist also recht kritisch. Microsoft empfiehlt im Artikel zu CVE-2022-26925 der Aktualisierung von Domänencontrollern Priorität einzuräumen. Blog-Leser Daniele weist in diesem Kommentar drauf hin, dass die „Active-Directory-Schwachstelle ist bereits Ziel von Angriffen“ sei. Microsoft schreibt im Artikel zu CVE-2022-26925, dass die Schwachstelle bereits ausgenutzt wird.

Updates flicken erneut PetitPotam

Der französische Sicherheitsforscher Gilles Lionel (Alias Topotam) hatte im Juli 2021 ein Proof of Concept (PoC) zur Ausnutzung eines NTLM-Relay-Angriffs veröffentlicht, mit dem Windows Domain Controller übernommen werden können (siehe auch PetitPotam-Angriff erlaubt Windows Domain-Übernahme). Er benutzt dazu eine Methode, um einen Domänencontroller zu zwingen, sich gegenüber einem bösartigen NTLM-Relay zu authentifizieren. Dies ermöglicht, dann die Anfrage über HTTP an die Active Directory-Zertifikatsdienste einer Domäne weiter zu  leiten. Letztendlich erhält der Angreifer ein Kerberos-Ticket (TGT), mit dem er die Identität eines beliebigen Geräts im Netzwerk, einschließlich eines Domänencontrollers, annehmen könnte.

Betroffen waren alle noch im Support befindlichen Windows Server-Varianten. Diese sogenannte Windows LSA Spoofing-Schwachstelle CVE-2021-36942 wurde zum 10. August 2021 mit den regulären Sicherheitsupdates geschlossen. Allerdings gab es einen weiteren Angriffsvektor, für den dann Acros-Security einen 0patch-Fix bereitstellte (siehe 2. 0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)).

Allerdings gab es einen Fehler nach einer DCOM-Härtung durch den September 2021-Patch – ich hatte im Blog-Beitrag Windows-Schwachstelle CVE-2021-36942 (Petitpotam) und DCOM-Härtung auf entsprechende Leserinformationen hingewiesen. Nun haben die Kollegen von Bleeping Computer mal bei Microsoft nachgefragt und erfahren, dass die jetzt geschlossene Sicherheitslücke zur PetitPotam-Schwachstelle gehört. Nicolas Krassas weist in diesem Tweet auf diesen Beitrag von Bleeping Computer hin, in der ein erneuter Patch der zu PetitPotam gehörenden Schwachstelle thematisiert wird.

PetitPotam-Patch May 2022

Nach den obigen Ausführungen sollten die Sicherheitsupdates vom Mai 2022 zeitnah eingespielt werden. Allerdings stehen diesem Unterfangen zahlreiche Probleme bei der Installation der Updates entgegen, die ich im Blog-Beitrag Windows, Office: Mai 2022 Patchday-Probleme und Besonderheiten aufgegriffen habe. Hervorheben möchte ich den Fehler Error 0xc0000135, der durch das kumulative Update KB5013943 für Windows 11 hervorgerufen wird, und die Ausführung zahlreicher Anwendungen blockiert. Das Problem ist im Beitrag Windows 11: Update KB5013943 erzeugt Fehler 0xc0000135 detaillierter und mit Fehlerbehebungsmöglichkeiten beschrieben. Meinen Informationen nach sind Windows Server Version 20H2 und Windows 10 Version 20H2-21H2 durch das Update KB5013942 betroffen.

Zudem gibt es ja 802.1x-Zertifikatsprobleme auf DCs und NPS-Server, die ebenfalls im im Blog-Beitrag Windows, Office: Mai 2022 Patchday-Probleme und Besonderheiten angesprochen werden. Mehr Details gibt es im Beitrag Windows Mai 2022-Updates verursachen AD-Authentifizierungsfehler (Server, Client).

Ähnliche Artikel:
Microsoft Security Update Summary (10. Mai 2022)
Patchday: Windows 10-Updates (10. Mai 2022)
Patchday: Windows 11/Server 2022-Updates (10. Mai 2022)
Windows 7/Server 2008R2; Windows 8.1/Server 2012R2: Updates (10. Mai 2022)
Windows, Office: Mai 2022 Patchday-Probleme und Besonderheiten

PetitPotam-Angriff erlaubt Windows Domain-Übernahme
Microsofts Workaround gegen Windows PetitPotam NTLM-Relay-Angriffe
PetitPotam-Angriffe auf Windows durch RPC-Filter blocken
0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)
2. 0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)

Windows-Schwachstelle CVE-2021-36942 (Petitpotam) und DCOM-Härtung

Dieser Beitrag wurde unter Sicherheit, Update, Windows, Windows 10, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Microsoft fixt (PetitPotam) NTLM Relay-Schwachstelle (CVE-2022-26925) mit Windows Mai 2022-Update

  1. RandomGuy sagt:

    Achtung, es gibt aber auch Known Issues bzgl. dem Update in Kombi mit Domain Controllern :)

    https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-21h2#2826msgdesc

  2. techee sagt:

    Also muss man immer noch händisch an der IIS Konfiguration rumfummeln um die Lücke zu schließen? Das wird mir aus den MS artikeln nicht ganz klar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert