Уязвимость метода интерфейса LSARPC компонента Windows LSA операционной системы Windows связана с возможностью обхода механизма аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку «человек посередине», путем ретрансляции NTLM на службы сертификатов Active Directory (AD CS)
BDU:2022-02882
CVE-2022-26925
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
1. Использование рекомендаций производителя:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-26925
https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
2. Компенсирующие меры:
- запрет анонимного подключения в LSARPC;
- включение EPA и отключение HTTP на серверах AD CS;
- включение EPA для веб-службы регистрации сертификатов;
- включение Require SSL с целью использования только HTTPS-соединения;
- отключение NTLM-аутентификации на контроллере домена Windows;
- отключение NTLM на всех серверах AD CS в вашем домене с помощью групповой политики;
- отключение NTLM для информационных служб Интернета (IIS) на серверах AD CS в домене, на которых запущены службы «Веб-регистрация центра сертификации» или «Веб-служба регистрации сертификатов».
BDU:2022-02882
CVE-2022-26925
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
1. Использование рекомендаций производителя:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-26925
https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
2. Компенсирующие меры:
- запрет анонимного подключения в LSARPC;
- включение EPA и отключение HTTP на серверах AD CS;
- включение EPA для веб-службы регистрации сертификатов;
- включение Require SSL с целью использования только HTTPS-соединения;
- отключение NTLM-аутентификации на контроллере домена Windows;
- отключение NTLM на всех серверах AD CS в вашем домене с помощью групповой политики;
- отключение NTLM для информационных служб Интернета (IIS) на серверах AD CS в домене, на которых запущены службы «Веб-регистрация центра сертификации» или «Веб-служба регистрации сертификатов».