Authentifizierung erzwungen
Microsoft hatte dabei Änderungen eingeführt, um eine Windows Local Security Authority (LSA) Spoofing-Schwachstelle zu schließen (CVE-2022-2692). Dieser schwerwiegende Fehler ermöglicht es nicht authentifizierten Angreifern, anonym Aufrufe zu starten und den Domain Controller (DC) zu zwingen, sie über NTLM zu authentifizieren. Damit könnte eine Erhöhung der Rechte geschaffen werden, und Angreifer können die Kontrolle über eine gesamte Domäne übernehmen.Die US-Cybersecurity-Behörde meldet:
Die CISA entfernt CVE-2022-26925 vorübergehend aus ihrem Katalog bekannter Sicherheitsrisiken, da das Risiko von Authentifizierungsfehlern besteht, wenn das Microsoft Rollup-Update vom 10. Mai 2022 auf Domänencontrollern angewendet wird. Nach der Installation des Rollup-Updates vom 10. Mai 2022 auf Domänencontrollern kann es in Unternehmen zu Authentifizierungsfehlern auf dem Server oder Client für Dienste wie Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) und Protected Extensible Authentication Protocol (PEAP) kommen. Microsoft hat die CISA über dieses Problem informiert, das damit zusammenhängt, wie die Zuordnung von Zertifikaten zu Computerkonten durch den Domänencontroller gehandhabt wird.Hinweis: Die Installation von Updates, die am 10. Mai 2022 veröffentlicht wurden, auf Client-Windows-Geräten und Windows-Servern, die keine Domänencontroller sind, verursacht dieses Problem nicht und wird weiterhin dringend empfohlen. Dieses Problem betrifft nur Updates vom 10. Mai 2022, die auf Servern installiert sind, die als Domänencontroller verwendet werden. Organisationen sollten weiterhin Updates auf Client-Windows-Geräten und Windows-Servern ohne Domänencontroller installieren.
Da die CISA jetzt offiziell davon abrät, den Mai-Patch auf Windows Server DCs zu installieren, muss Microsoft schnellstmöglich handeln, um eine dauerhafte Lösung gegen alle Sicherheitslücken, die beim Patch-Day geschlossen wurden, zu bieten.