Microsoft แจ้งเตือนช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตีในลักษณะ Windows LSA spoofing ซึ่งจะทำให้ผู้โจมตีที่ไม่ต้องผ่านการตรวจสอบสิทธิ์สามารถใช้ประโยชน์จากช่องโหว่เพื่อบังคับให้ตัว Domain controllers รับรองให้ผู้โจมตีสามารถเข้าถึงระบบได้ ผ่านโปรโตคอล Windows NT LAN Manager (NTLM)
LSA (Local Security Authority) เป็นระบบหนึ่งของ Windows ที่ทำหน้าที่ในการ enforces local policies และตรวจสอบการ sign-in เข้าใช้งานของ users ทั้งจาก local และ remote
ช่องโหว่ดังกล่าว มีหมายเลขช่องโหว่คือ CVE-2022-26925 โดยมีการรายงานช่องโหว่จาก Raphael John ของ Bertelsmann Printing Group ซึ่งพบว่าถูกนำไปใช้ในการโจมตีจริงแล้วในปัจจุบัน และจะเป็นช่องทางใหม่สำหรับการโจมตีแบบ PetitPotam NTLM relay attack
การโจมตีแบบ PetitPotam ถูกค้นพบโดยนักวิจัยด้านความปลอดภัย GILLES Lionel ในเดือนกรกฎาคม พ.ศ. 2564 โดยมีความพยายามจากทาง Microsoft ในการบล็อกการโจมตีในรูปแบบดังกล่าว อย่างไรก็ตามวิธีการแก้ไขปัญหาชั่วคราว และการอัปเดตความปลอดภัยจาก Microsoft ที่มีการอัปเดตออกมา ก็ยังไม่สามารถบล็อกการโจมตีด้วยวิธีการ PetitPotam ทั้งหมด
กลุ่ม LockFile ransomware ก็เป็นหนึ่งในกลุ่มที่ใช้วิธีการโจมตีแบบ PetitPotam NTLM relay ด้วยการ hijack ตัว Windows domains เพื่อติดตั้ง payloads ที่เป็นอันตราย
Microsoft แนะนำให้ผู้ดูแลระบบ Windows ตรวจสอบวิธีการลดผลกระทบจากการโจมตีแบบ PetitPotam และมาตรการการลดผลกระทบใน NTLM Relay Attacks บน Active Directory Certificate Services (AD CS) โดยสามารถตรวจสอบได้จากลิงค์ https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
การยกระดับสิทธิ์ผ่านการ forced authentication
การโจมตีรูปแบบใหม่นี้ ผู้โจมตีจะดักจับ Authentication requests ซึ่งสามารถนำมาใช้เพื่อยกระดับสิทธิ์ และยังทำให้ผู้โจมตีสามารถเข้าควบคุม Domain ได้ทั้งหมด
ผู้โจมตีใช้ช่องโหว่ดังกล่าวในการโจมตีแบบ man-in-the-middle (MITM) โดยผู้โจมตีจะดักจับการรับส่งข้อมูลระหว่างเหยื่อ และ Domain controller เพื่ออ่าน หรือแก้ไขข้อมูลจากการเชื่อมต่อดังกล่าว
Microsoft อธิบายว่า "ผู้โจมตีสามารถเรียกใช้ method บน LSARPC interface และบังคับตัว Domain controller เพื่อรับรองสิทธิ์ให้ผู้โจมตีสามารถเข้าถึงระบบได้โดยใช้ NTLM"
สำหรับแพตซ์อัปเดตล่าสุดจะมีการตรวจสอบการเชื่อมต่อที่ไม่มีการระบุชื่อใน LSARPC ซึ่งจริงๆแล้วช่องโหว่นี้จะส่งผลกระทบต่อเซิร์ฟเวอร์ทั้งหมด แต่แนะนำให้ผู้ใช้งานอัปเดตช่องโหว่บน domain controller เป็นอันดับแรก
แต่การติดตั้งการอัปเดตนี้อาจจะมีผลกระทบกับระบบที่ใช้ Windows 7 Service Pack 1 และ Windows Server 2008 R2 Service Pack 1 เนื่องจากอาจจะทำให้ backup software บาง Vendor ไม่สามารถใช้การได้
CVE-2022-26925 ส่งผลกระทบต่อ Windows ทุกรุ่นทั้ง Client และ Server โดยส่งผลกระทบตั้งแต่ Windows 7 และ Windows Server 2008 ไปจนถึง Windows 11 และ Windows 2022
Microsoft ได้แก้ไขช่องโหว่ Zero-day นี้ ร่วมกับอีกสองช่องโหว่ใน Windows Hyper-V denial of service bug (CVE-2022-22713) และ Magnitude Simba Amazon Redshift ODBC Driver flaw (CVE-2022-29972) ซึ่งเป็นส่วนหนึ่งของ Patch Tuesday ประจำเดือนพฤษภาคม 2022
ที่มา: bleepingcomputer.com