این اشکال در Windows Local Security Authority (LSA) است که “حاوی یک آسیبپذیری جعل است که در آن مهاجم میتواند کنترلکننده دامنه را وادار کند تا با استفاده از NTLM برای مهاجم احراز هویت کند.”
NTLM یا مدیر شبکه NT (NTLM) یک پروتکل احراز هویت قدیمی مایکروسافت برای Active Directory است که در ویندوز 2000 پیادهسازی شده است. LSA به برنامهها اجازه میدهد تا احراز هویت و ورود کاربران به سیستم محلی را انجام دهند.
“CISA و گروه کاری بین سازمانی در حال گفتگوهای فعال با مایکروسافت برای بهبود مسیر رو به جلو هستند. در حال حاضر، CISA این کار را انجام می دهد. نه به آژانسها توصیه میکنیم که مهاجرت به یک نقشهبرداری قوی را دنبال کنند.” CISA میگوید.
منبع: https://www.zdnet.com/article/cisa-heres-how-to-apply-this-key-windows-patch-without-breaking-certificate-authentication/#ftag=RSSbaffb68
برای جلوگیری از این مشکلات ورود، CISA در حال حاضر توصیه می کند مراحل خود را برای تنظیم دو کلید رجیستری در کنترل کننده های دامنه دنبال کنید.
CISA اول جولای است در راهنمای جداگانه ذکر شده است برای اعمال وصله برای CVE-2022-26925 که شامل رفع دو نقص مرتبط است که در بهروزرسانی می پچ سهشنبه برطرف شده است: CVE-2022-26923, خدمات دامنه اکتیو دایرکتوری ارتقاء نقص امتیاز. و CVE-2022-26931، یک آسیبپذیری دسترسی به ویندوز Kerberos. (Kerberos جانشین NTLM برای احراز هویت در اکتیو دایرکتوری است).
با این حال، یک پیام هشدار ثبت میشود مگر اینکه گواهی قدیمیتر از کاربر باشد. اگر گواهی قدیمیتر از کاربر باشد و کلید رجیستری Certificate Backdating وجود نداشته باشد یا محدوده خارج از جبران عقبنگاری باشد، احراز هویت انجام نمیشود و خطا رخ میدهد. اگر کلید رجیستری Certificate Backdating پیکربندی شده باشد، یک پیام هشدار در گزارش رویداد ثبت میکند اگر تاریخها در جبران تاریخ عقبنشینی قرار گیرند.
اما همانطور که CISA توضیح میدهد، این بهروزرسانیها باعث شکست ورود به سیستم در «بسیاری از آژانسهای فدرال» شد که از گواهیهای تأیید هویت شخصی (PIV)/کارت دسترسی مشترک (CAC) برای احراز هویت استفاده میکنند. این شکست از اکتیو دایرکتوری ناشی می شود، پس از به روز رسانی می 2022، به دنبال “نقشه قوی بین گواهی و حساب” است.
علاوه بر شکستن احتمالی ورود کاربران در بسیاری از آژانسهای فدرال، راهحلی پیچیده نیز برای راهاندازی آن است.
“بعد از نصب بهروزرسانیهای 10 می 2022 ویندوز، مراقب پیامهای هشداری باشید که ممکن است بعد از یک ماه یا بیشتر ظاهر شود. اگر پیام هشداری وجود ندارد، اکیداً توصیه میکنیم که حالت Full Enforcement را روی همه کنترلکنندههای دامنه با استفاده از گواهی مبتنی بر گواهی فعال کنید. احراز هویت. میتوانید از کلید رجیستری KDC برای فعال کردن حالت Full Enforcement استفاده کنید.”
“هنگامی که بهروزرسانیهای 10 می 2022 ویندوز را نصب کردید، دستگاهها در حالت سازگاری قرار میگیرند. اگر گواهی را بتوان به شدت برای یک کاربر نگاشت کرد، احراز هویت همانطور که انتظار میرود انجام میشود. اگر یک گواهی تنها میتواند به صورت ضعیف به کاربر نگاشت شود، احراز هویت مایکروسافت در یک پرسش متداول توضیح می دهد که همانطور که انتظار می رود رخ خواهد داد.
آژانس امنیت سایبری و امنیت زیرساخت (CISA) اکنون به آژانسهای فدرال و سایرین توصیه میکند که نقص ویندوز مربوط به وصله سهشنبه ماه مه مایکروسافت را برطرف کنند.
اعمال بهروزرسانی امنیتی مه 2022 دستگاهها را در حالت سازگاری قرار میدهد. و در سال آینده، در 9 می 2023، مایکروسافت تمام دستگاهها را به حالت اجرایی کامل بهروزرسانی میکند، اگر قبلاً در آن نباشند.
CISA نقص ویندوز را دوباره اضافه کرده است CVE-2022-26925 به آن کاتالوگ آسیب پذیری های شناخته شده (KEV). و به آژانس های فدرال گفته است که آن را تا 22 جولای اصلاح کنند.
اما CISA میگوید آژانسها هنوز نباید به نقشهبرداری قوی گواهی-کاربر مهاجرت کنند، تا حدی به این دلیل که ممکن است با برخی موارد استفاده معتبر در اکوسیستم فدرال PKI در تضاد باشد. CISA میگوید در حال مذاکره با مایکروسافت برای یافتن راهحلی کمتر مخرب است.
مایکروسافت دلیل بررسی دقیقتر گواهیها در حالت سازگاری را این است که قبل از بهروزرسانی امنیتی می 2022، احراز هویت مبتنی بر گواهی علامت دلار ($) در انتهای نام دستگاه را در نظر نمیگرفت و امکان حملات جعل را فراهم میکرد.
CISA در 15 مه CVE-2022-26925 را موقتاً از کاتالوگ KEV حذف کرد زیرا مشتریان پس از اعمال بهروزرسانی روی سرورهای ویندوز که به عنوان کنترلکننده دامنه استفاده میشوند، یعنی سرورهای ویندوزی که برای احراز هویت کاربر با آنها استفاده میشوند، با ورود به سیستم مواجه شدند.
CISA می گوید که مایکروسافت در ماه مه 2023 دستگاه های ویندوز سرور را به حالت “اجرای کامل” هدایت می کند “اگر آژانس ها نقشه ای قوی ایجاد نکرده باشند یا SID ها را به گواهی ها اضافه نکرده باشند.”
تنظیمات کلید رجیستری به مدیران این امکان را می دهد که کنترل کنند دامنه در “حالت سازگاری” یا “حالت اجرای کامل” است یا خیر.