image

VS verwijdert Windows-update wegens problemen van verplichte patchlijst

zaterdag 14 mei 2022, 16:56 door Redactie, 8 reacties

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft een actief aangevallen spoofinglek in Windows wegens problemen tijdelijk van een lijst met verplicht te installeren beveiligingsupdates voor federale overheidinstanties gehaald. Afgelopen dinsdag kwam Microsoft met een patch voor de kwetsbaarheid, waar op dat moment al actief misbruik van werd gemaakt.

Het gaat om een kwetsbaarheid in de Windows LSA (Local Security Authority), aangeduid als CVE-2022-26925, die spoofing mogelijk maakt. Via het spoofinglek kan een ongeauthenticeerde aanvaller een domeincontroller dwingen om zich via NTLM bij een andere server te authenticeren. Om misbruik van de kwetsbaarheid te kunnen maken is een man-in-the-middle-positie vereist, waarbij de aanvaller tussen de aangevallen server en de opgegeven server zit.

Volgens onderzoekers gaat het om de PetitPotam-kwetsbaarheid die vorig jaar augustus door Microsoft werd verholpen, maar tussen december en maart van dit jaar zou zijn geherintroduceerd. Wanneer de update op domeincontrollers wordt geïnstalleerd kunnen organisaties met authenticatieproblemen op de server of client voor services te maken krijgen, zoals Network Policy Server (NPS), Routing and Remote access Service (RRAS), het Radius, Extensible Authentication Protocol (EAP) en het Protected Extensible Authentication Protocol (PEAP).

Microsoft heeft het CISA over het probleem ingelicht, wat heeft te maken met de manier waarop de domeincontroller omgaat met certificaten voor machine-accounts. Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem verplicht moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid.

Na het verschijnen van de Windows-update voor CVE-2022-26925 kwam het CISA ook met een deadline voor het installeren van de betreffende update voor dit beveiligingslek. Vanwege de problemen is de beveiligingsupdate nu tijdelijk van de lijst verwijderd. Het CISA merkt op dat het probleem zich alleen voordoet bij servers die als domeincontroller worden gebruikt. Organisaties wordt aangeraden om Windows-clients en servers die niet als domeincontroller fungeren wel te patchen.

Reacties (8)
14-05-2022, 22:23 door Anoniem
Waar blijft de EU? Komt er nog een her-introductie van deze spoofing NTLM kwetsbaarheid, waarop geanticipeerd moet worden volgens Homeland Security? Hoe zit dit?
#observator
15-05-2022, 08:46 door karma4
De nuance van de uitzondering enkel voor domeincontrollers staat in het artikel.
De kop geeft een heel andere indruk.
15-05-2022, 11:57 door Anoniem
Door karma4: De nuance van de uitzondering enkel voor domeincontrollers staat in het artikel.
De kop geeft een heel andere indruk.
Het dekt precies de lading. Het is van de lijst gehaald. Het is trouwens altijd wel wat met dat windows patchen. Hoe vaak wij niet een patch hebben moeten terugtrekken.
15-05-2022, 13:15 door Anoniem
Testen is natuurlijk lastig, zeker regressietesten...
16-05-2022, 10:24 door Leo van Lierop
Door karma4: De nuance van de uitzondering enkel voor domeincontrollers staat in het artikel.
De kop geeft een heel andere indruk.
Daarentegen was deze update juist voor domeincontrollers van belang met een score van 9.8. De nuance mag er van mij wel van af.
16-05-2022, 19:25 door karma4
Door Leo van Lierop:Daarentegen was deze update juist voor domeincontrollers van belang met een score van 9.8. De nuance mag er van mij wel van af.
Lees hem nog een beter, het ging om servers waar de domeincontrollers de server functie vervullen. De servers zijn de clients waar en service process loopt. Het is verwarrend voor de IT digibeet .
18-05-2022, 15:26 door Leo van Lierop
Door karma4:
Door Leo van Lierop:Daarentegen was deze update juist voor domeincontrollers van belang met een score van 9.8. De nuance mag er van mij wel van af.
Lees hem nog een beter, het ging om servers waar de domeincontrollers de server functie vervullen. De servers zijn de clients waar en service process loopt. Het is verwarrend voor de IT digibeet .
Onze wifi had last van deze update. Wij hebben de update terug gedraaid!
Helaas weet ik niet wat de connectie is tussen deze twee.
23-05-2022, 09:43 door Anoniem
Door Leo van Lierop:
Door karma4:
Door Leo van Lierop:Daarentegen was deze update juist voor domeincontrollers van belang met een score van 9.8. De nuance mag er van mij wel van af.
Lees hem nog een beter, het ging om servers waar de domeincontrollers de server functie vervullen. De servers zijn de clients waar en service process loopt. Het is verwarrend voor de IT digibeet .
Onze wifi had last van deze update. Wij hebben de update terug gedraaid!
Helaas weet ik niet wat de connectie is tussen deze twee.

Wellicht even deze door nemen? hopelijk helpt dat jullie om het toch iets strakker in te stellen?
https://msrc.microsoft.com/update-guide/vulnerability/ADV210003
https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.