Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias CISA advierte no instalar actualizaciones de mayo de Windows en controladores de dominio

CISA advierte no instalar actualizaciones de mayo de Windows en controladores de dominio

por Dragora

Este error de seguridad es una  falsificación de día cero de Windows LSA que se explota activamente y se  rastrea como CVE-2022-26925, confirmado como un  nuevo vector de ataque PetitPotam Windows NTLM Relay .

Los atacantes no autenticados abusan de CVE-2022-26925 para obligar a los controladores de dominio a autenticarlos de forma remota a través del protocolo de seguridad de Windows NT LAN Manager (NTLM) y, probablemente, obtener el control de todo el dominio de Windows.

Actualizaciones de seguridad de mayo de 2022 y problemas de autenticación de AD

Microsoft lo parcheó junto con otras 74 fallas de seguridad (dos de ellas también de día cero) como parte de los parches de seguridad emitidos el martes de parches de mayo de 2022.

CISA

Sin embargo, los parches para dos elevaciones de vulnerabilidades de privilegios en Windows Kerberos y Active Directory Domain Services (registrados como CVE-2022-26931 y CVE-2022-26923) también causarán  problemas de autenticación de servicios  cuando se implementen en controladores de dominio de Windows Server.

Antes de eliminarse de su Catálogo de vulnerabilidades explotadas conocidas , todas las agencias de la Rama Ejecutiva Civil Federal (FCEB) debían aplicar las actualizaciones de seguridad en un plazo de tres semanas (hasta el 1 de junio de 2022), de acuerdo con la  directiva operativa vinculante BOD 22-01  emitida en noviembre de 2021.

Dado que Microsoft ya no proporciona instaladores independientes para cada problema de seguridad que soluciona durante el martes de parches, la instalación de las actualizaciones de seguridad de este mes también desencadenará los problemas de autenticación de AD, ya que los administradores no pueden optar por instalar solo una de las actualizaciones de seguridad (es decir, la que se solucionará). el nuevo vector de ataque PetitPotam).

Como señaló CISA, «la instalación de actualizaciones lanzadas el 10 de mayo de 2022 en dispositivos cliente de Windows y servidores de Windows sin controlador de dominio no causará este problema y aún se recomienda encarecidamente».

“Este problema solo afecta las actualizaciones del 10 de mayo de 2022 instaladas en servidores utilizados como controladores de dominio. Las organizaciones deben continuar aplicando actualizaciones a los dispositivos Windows cliente y a los servidores Windows que no son controladores de dominio”, agregó la agencia de seguridad  cibernética .

Solución alternativa disponible para problemas de autenticación

Hasta que Microsoft emita una actualización oficial para abordar los problemas de autenticación de AD causados ​​por la instalación de las actualizaciones de seguridad de este mes, la empresa recomienda  asignar manualmente los certificados  a una cuenta de máquina en Active Directory.

«Si la mitigación preferida no funciona en su entorno, consulte ‘ KB5014754 — Cambios de autenticación basados ​​en certificados en los controladores de dominio de Windows’ para otras posibles mitigaciones en la  sección de clave de registro de SChannel «, dijo  la compañía .

« Cualquier otra mitigación, excepto las mitigaciones preferidas, podría reducir o deshabilitar el fortalecimiento de la seguridad».

Sin embargo, los administradores de Windows han compartido con BleepingComputer otros métodos para restaurar la autenticación de los usuarios afectados por este problema conocido.

Uno de ellos dice que la única forma en que pudieron iniciar sesión después de instalar la actualización de Windows de mayo de 2022 fue deshabilitar la clave StrongCertificateBindingEnforcement configurándola en 0.

Si no está disponible en el registro de sus sistemas, puede crearlo desde cero utilizando un tipo de datos REG_DWORD y establecerlo en 0 para desactivar la verificación de asignación de certificados seguros (aunque Microsoft no lo recomienda, esta es la única forma de permitir que todos los usuarios para iniciar sesión en algunos entornos).

Fuente: https://www.bleepingcomputer.com

You may also like

Dejar Comentario

Click to listen highlighted text!