แก้ไขช่องโหว่ NTLM Relay Attack (CVE-2022-26925)
ในช่วง พฤษภาคม พ.ศ. 2565 Microsoft ได้ทำการอัพเดตแพทช์ เพื่อแก้ไขช่องโหว่ NTLM Relay Attack (CVE-2022-26925) ซึ่งเป็น ‘ช่องโหว่การปลอมแปลง Windows LSA’
ผู้ไม่ประสงค์ดีที่สามารถเรียกใช้เมธอดบนอินเทอร์เฟซ LSARPC และบังคับตัวควบคุมโดเมนให้ตรวจสอบสิทธิ์ โดยใช้ NTLM การการอัพเดตแพทช์ในครั้งนี้จะตรวจจับความพยายามใน การเชื่อมต่อแบบไม่ระบุตัวตนใน LSARPC ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีสามารถควบคุมโดเมนได้อย่างสมบูรณ์
แม้ว่า Microsoft จะไม่เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่มากเกินไป แต่ระบุว่าการแก้ไขดังกล่าวส่งผลต่อฟังก์ชัน EFS API OpenEncryptedFileRaw(A/W) ซึ่งบ่งชี้ว่านี่อาจเป็นเวกเตอร์อื่นที่ไม่ได้รับการแก้ไขสำหรับการโจมตี PetitPotam
สามารถดูการสาธิตการโจมตีนี้ได้ด้านล่าง
คำแนะนำ
- ทำการอัพเดตแพทช์ ระบบปฏิบัติการให้เป็นเวอร์ชั่นล่าสุด
Ref: https://www.bleepingcomputer.com/news/security/microsoft-fixes-new-petitpotam-windows-ntlm-relay-attack-vector/