Thông tin lỗ hổng Zero-day trên Windows Server 2016 CVE-2022-26925

Thông tin bảo mật 10/05/2022 CVE-2022-26925


CVE-2022-26925 – Lỗ hổng giả mạo Windows LSA (Windows LSA Spoofing Vulnerability) là một lỗ hổng nghiêm trọng vì nó đang bị các tác nhân đe dọa khai thác. Nó có điểm CVSS là 8,1. Mức độ phức tạp của cuộc tấn công là Cao vì lỗ hổng đã được xếp hạng với mức độ phức tạp AC: H. Cùng với các cuộc tấn công chuyển tiếp NTLM trên các dịch vụ chứng chỉ Active Directory (AD CS), lỗ hổng giả mạo LSA có nguy cơ tương đương với lỗ hổng nghiêm trọng CVSS 9.8.

Cơ chế: Kẻ tấn công chưa được xác thực có thể gọi một phương thức trên giao diện LSARPC và ép buộc Domain controller xác thực với kẻ tấn công bằng NTLM. Bản cập nhật bảo mật này phát hiện các nỗ lực kết nối ẩn danh trong LSARPC và không cho phép chúng. CVE-2022-26925 được biết đến là 1 phần của lỗ hỏng PetitPotam trên Windows Server và Domain Controller

Hệ quả là các tài khoản người dùng trong hệ thống domain controller bị giả mạo logon vào Domain controller mà không đúng password, gây ra tình trạng chứng thực sai và bị block tài khoản không thể đăng nhập vào email hoặc logon máy tính.

Cập nhật các bản vá Windows Server
KB5013952=> Windows Server 2016
KB5013941=> Windows Server 2019
KB5013944=> Windows Server 2022

Phương Nguyễn Dịch

Tham khảo: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26925

CVE-2022-26925
Comments (0)
Add Comment