Microsoft ได้แก้ไขช่องโหว่ NTLM Relay Attack

Windows security

ในช่วง พฤษภาคม พ.ศ. 2565 Microsoft ได้ทำการอัพเดตแพทช์ เพื่อแก้ไขช่องโหว่ NTLM Relay Attack (CVE-2022-26925) ซึ่งเป็น ‘ช่องโหว่การปลอมแปลง Windows LSA’  

ผู้ไม่ประสงค์ดีที่สามารถเรียกใช้เมธอดบนอินเทอร์เฟซ LSARPC และบังคับตัวควบคุมโดเมนให้ตรวจสอบสิทธิ์ โดยใช้ NTLM การการอัพเดตแพทช์ในครั้งนี้จะตรวจจับความพยายามใน การเชื่อมต่อแบบไม่ระบุตัวตนใน LSARPC ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีสามารถควบคุมโดเมนได้อย่างสมบูรณ์ 

แม้ว่า Microsoft จะไม่เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่มากเกินไป แต่ระบุว่าการแก้ไขดังกล่าวส่งผลต่อฟังก์ชัน EFS API OpenEncryptedFileRaw(A/W) ซึ่งบ่งชี้ว่านี่อาจเป็นเวกเตอร์อื่นที่ไม่ได้รับการแก้ไขสำหรับการโจมตี PetitPotam 

สามารถดูการสาธิตการโจมตีนี้ได้ด้านล่าง 

คำแนะนำ 

  • ทำการอัพเดตแพทช์ ระบบปฏิบัติการให้เป็นเวอร์ชั่นล่าสุด 

Ref: https://www.bleepingcomputer.com/news/security/microsoft-fixes-new-petitpotam-windows-ntlm-relay-attack-vector/ 

Share