CISA avisa para não instalar atualizações de maio do Windows em controladores de domínio
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) removeu uma falha de segurança do Windows de seu catálogo de vulnerabilidades exploradas conhecidas devido a problemas de autenticação do Active Directory (AD) causados pelas atualizações de maio de 2022 que a corrigem.
Esse bug de segurança é um dia zero de falsificação de LSA do Windows explorado ativamente rastreado como CVE-2022-26925, confirmado como um novo vetor de ataque PetitPotam Windows NTLM Relay .
Os invasores não autenticados abusam do CVE-2022-26925 para forçar os controladores de domínio a autenticá-los remotamente por meio do protocolo de segurança do Windows NT LAN Manager (NTLM) e, provavelmente, obter controle sobre todo o domínio do Windows.
Atualizações de segurança de maio de 2022 e problemas de autenticação do AD
A Microsoft corrigiu-o junto com outras 74 falhas de segurança (duas delas também de dia zero) como parte dos patches de segurança emitidos na Patch Tuesday de maio de 2022.
No entanto, os patches para duas elevações de vulnerabilidades de privilégio no Windows Kerberos e Active Directory Domain Services (rastreados como CVE-2022-26931 e CVE-2022-26923) também causarão problemas de autenticação de serviço quando implantados em controladores de domínio do Windows Server.
Antes de serem removidos de seu Catálogo de Vulnerabilidades Exploradas Conhecidas, todas as agências do Poder Executivo Civil Federal (FCEB) foram obrigadas a aplicar as atualizações de segurança dentro de três semanas (até 1º de junho de 2022), de acordo com a diretiva operacional vinculante BOD 22-01 emitida em novembro de 2021.
Como a Microsoft não fornece mais instaladores separados para cada problema de segurança que aborda durante o Patch Tuesday, a instalação das atualizações de segurança deste mês também acionará os problemas de autenticação do AD, pois os administradores não podem optar por instalar apenas uma das atualizações de segurança (ou seja, aquela a ser resolvida o novo vetor de ataque PetitPotam).
Como a CISA observou, “a instalação de atualizações lançadas em 10 de maio de 2022 em dispositivos Windows cliente e servidores Windows não controladores de domínio não causará esse problema e ainda é fortemente recomendada”.
“Esse problema afeta apenas as atualizações de 10 de maio de 2022 instaladas em servidores usados como controladores de domínio .
Solução alternativa disponível para problemas de autenticação
Até que a Microsoft emita uma atualização oficial para resolver os problemas de autenticação do AD causados pela instalação das atualizações de segurança deste mês, a empresa recomenda mapear manualmente os certificados para uma conta de máquina no Active Directory.
“Se a mitigação preferida não funcionar em seu ambiente, consulte ‘ KB5014754 — Alterações de autenticação baseadas em certificados em controladores de domínio do Windows’ para outras possíveis mitigações na seção de chave de registro SChannel “, disse a empresa .
“ Qualquer outra mitigação, exceto as atenuações preferenciais, pode diminuir ou desabilitar a proteção de segurança.”
No entanto, os administradores do Windows compartilharam com o BleepingComputer outros métodos para restaurar a autenticação de usuários afetados por esse problema conhecido.
Um deles diz que a única maneira de conseguir fazer login depois de instalar a atualização do Windows de maio de 2022 era desabilitar a chave StrongCertificateBindingEnforcement definindo-a como 0.
Se não estiver disponível no registro em seus sistemas, você pode criá-lo do zero usando um tipo de dados REG_DWORD e defini-lo como 0 para desabilitar a verificação de mapeamento de certificado forte (mesmo não sendo recomendado pela Microsoft, esta é a única maneira de permitir que todos os usuários para fazer login em alguns ambientes).