CVE-2022-26925 adalah kelemahan pada komponen utama keamanan Windows (proses "Otoritas Keamanan Lokal" di dalam Windows) yang ketika dieksploitasi memungkinkan penyerang melakukan serangan man-in-the-middle untuk memaksa pengontrol domain untuk mengautentikasi ke penyerang menggunakan otentikasi NTLM. Saat digunakan bersama dengan serangan relai NTLM, ada potensi eksekusi kode jarak jauh.
Menurut Microsoft, “Penyerang yang tidak diautentikasi dapat memanggil metode pada antarmuka LSARPC dan memaksa pengontrol domain untuk mengautentikasi penyerang menggunakan NTLM.”
Microsoft telah menilai kerentanan ini sebagai hal yang penting dan memberinya skor CVSS (bahaya) 8,1 (10 menjadi yang terburuk), meskipun Microsoft mencatat bahwa skor CVSS bisa setinggi 9,8 dalam situasi tertentu.
Agar penyerang dapat memanfaatkan kerentanan ini, mereka harus sudah memiliki akses ke jalur jaringan logis antara klien dan sumber daya untuk melakukan serangan man-in-the middle.
Identifikasi Perangkat Rentan
Menurut Microsoft, “Bug ini memengaruhi semua versi Windows yang didukung, tetapi Pengontrol Domain harus ditambal berdasarkan prioritas sebelum memperbarui server lain.”
Upaya khusus harus dilakukan untuk memprioritaskan perbaikan kerentanan ini pada perangkat yang merupakan Pengontrol Domain dan rentan terhadap Serangan Relai NTLM. Tingkat keparahan kerentanan untuk perangkat ini lebih tinggi pada 9,8.
Pengontrol Domain berpotensi rentan terhadap serangan relai NTLM saat komponen Layanan Sertifikat Direktori Aktif (AD CS) berikut ini ada:
- Pendaftaran Web Otoritas Sertifikat
- Layanan Web Pendaftaran Sertifikat
Anda dapat mengidentifikasi apakah layanan yang disebutkan di atas ada di Server Windows Anda dengan menggunakan metode berikut:
- Buka prompt PowerShell dan jalankan perintah berikut:
Get-WindowsFeature *ad-certificate*, *adcs*
Jika "Layanan Sertifikat Direktori Aktif" dipilih dalam hasil DAN "Pendaftaran Web Otoritas Sertifikat" ATAU "Layanan Web Pendaftaran Sertifikat" dipilih, server Anda berpotensi meningkatkan risiko serangan ini.
Remediasi untuk Perangkat Rentan
Rackspace Technology sangat menyarankan tindakan berikut:
1- Instal patch Mei 2022 dari Microsoft seperti yang direkomendasikan di tautan ini:
- Untuk pelanggan yang berlangganan solusi patching Rackspace Technology, patch terkait akan diterapkan pada jadwal patching reguler.
- Pelanggan yang tidak berlangganan solusi patching Rackspace Technology sangat dianjurkan untuk sepenuhnya menambal sistem mereka sesegera mungkin. Pelanggan dapat menambal sistem mereka sendiri atau menghubungi Rackspace untuk menerima bantuan terkait penambalan. Kami akan melakukan segala upaya untuk mengakomodasi permintaan tambalan.
2- Jika peran "Layanan Sertifikat Direktori Aktif" dan layanan terkait (yaitu "Pendaftaran Web Otoritas Sertifikat" ATAU "Layanan Web Pendaftaran Sertifikat") diinstal tetapi Anda tidak menggunakan peran ini, hapus instalan peran menggunakan petunjuk ini yang disediakan oleh Microsoft.
Masalah Umum
Per Microsoft, “Setelah menginstal pembaruan yang dirilis 10 Mei 2022 di pengontrol domain Anda, Anda mungkin melihat kegagalan otentikasi di server atau klien untuk layanan seperti Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP), dan Protected Extensible Authentication Protocol (PEAP). Masalah telah ditemukan terkait dengan cara pemetaan sertifikat ke akun mesin ditangani oleh pengontrol domain.”
Jika Anda mengalami masalah autentikasi setelah penginstalan pembaruan Mei 2022, Microsoft telah menyediakan perbaikan out-of-band yang dirinci dalam tautan ini.
Jika Anda memerlukan informasi atau bantuan lebih lanjut mengenai kerentanan ini, ajukan Tiket Dukungan atau hubungi Tim Dukungan Rackspace Anda.
Gunakan tab Umpan Balik untuk memberikan komentar atau mengajukan pertanyaan. Anda juga dapat memulai percakapan dengan kami.