{"id":265361,"date":"2022-05-15T08:49:44","date_gmt":"2022-05-15T06:49:44","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265361"},"modified":"2022-05-15T11:37:32","modified_gmt":"2022-05-15T09:37:32","slug":"microsoft-fixt-petitpotam-ntlm-relay-schwachstelle-cve-2022-26925-mit-windows-mai-2022-update","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/15\/microsoft-fixt-petitpotam-ntlm-relay-schwachstelle-cve-2022-26925-mit-windows-mai-2022-update\/","title":{"rendered":"Microsoft fixt (PetitPotam) NTLM Relay-Schwachstelle (CVE-2022-26925) mit Windows Mai 2022-Update"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/05\/15\/microsoft-fixt-petitpotam-ntlm-relay-schwachstelle-cve-2022-26925-mit-windows-mai-2022-update\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Noch ein Nachtrag von dieser Woche: Zum Patchday hat Microsoft am 10. Mai 2022 mit seinen Sicherheitsupdate f\u00fcr Windows einige Schwachstellen geschlossen. Eine Schwachstelle (CVE-2022-26925, Windows LSA Spoofing) betrifft NTLM Relay-Angriffe auf Systeme. Die Updates sind ein weiterer Fix der in 2021 bekannt gewordenen PetitPotam-Schwachstelle. Inzwischen wird die Schwachstelle f\u00fcr Angriffe auf das Active Directory ausgenutzt. Es sollte zeitnah gepatcht werden &#8211; aber die Update-Kollateralsch\u00e4den stehen dem in manchen F\u00e4llen im Weg.<\/p>\n<p><!--more--><\/p>\n<h2>Windows LSA Spoofing Schwachstelle CVE-2022-26925<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/c0ea7cd501074efdbdab8c2a53191e55\" alt=\"\" width=\"1\" height=\"1\" \/>Im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/10\/microsoft-security-update-summary-10-mai-2022\/\">Microsoft Security Update Summary (10. Mai 2022)<\/a> hatte ich bereits erw\u00e4hnt, dass die Windows LSA Spoofing-Schwachstelle <u><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2022-26925\" target=\"_blank\" rel=\"noopener\">CVE-2022-26925<\/a><\/u> durch die Sicherheitsupdates geschlossen wird. \u00dcber diese Schwachstelle k\u00f6nnte ein nicht authentifizierter Angreifer eine Methode der LSARPC-Schnittstelle aufrufen und Dom\u00e4nencontroller dazu zwingen, sich mit NTLM beim Angreifer zu authentifizieren.<\/p>\n<p>Diese Sicherheitsanf\u00e4lligkeit betrifft alle Server, aber Dom\u00e4nencontroller sollten bei der Anwendung von Sicherheitsupdates vorrangig behandelt werden. Wenn das betreffende Sicherheitsupdate installiert ist, erkennt diese anonyme Verbindungsversuche in LSARPC und l\u00e4sst sie nicht zu. Microsoft hat Updates f\u00fcr folgende Windows-Versionen zum Schlie\u00dfen der Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2022-26925\" target=\"_blank\" rel=\"noopener\">bereitgestellt<\/a>.<\/p>\n<ul>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5014012\" target=\"_blank\" rel=\"noopener\">KB5014012<\/a>: Monthly Rollup for Windows Server 2008 R2 SP1; Windows 7 SP1<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5013999\" target=\"_blank\" rel=\"noopener\">KB5013999<\/a>: Security Only for Windows Server 2008 R2 SP1; Windows 7 SP1<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5014010\" target=\"_blank\" rel=\"noopener\">KB5014010<\/a>: Monthly Rollup for Windows Server 2008 SP2<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5014006\" target=\"_blank\" rel=\"noopener\">KB5014006<\/a>: Security Only for Windows Server 2008 SP2\n<ul><!--EndFragment--><\/ul>\n<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5014011\" target=\"_blank\" rel=\"noopener\">KB5014011<\/a>: Monthly Rollup for Windows Server 2012 R2; Windows 8.1<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5014001\" target=\"_blank\" rel=\"noopener\">KB5014001<\/a>: Security Only for Windows Server 2012 R2; Windows 8.1<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5014017\" target=\"_blank\" rel=\"noopener\">KB5014017<\/a>: Monthly Rollup for Windows Server 2012<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5014018\" target=\"_blank\" rel=\"noopener\">KB5014018<\/a>: Security Only for Windows Server 2012<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5013963\" target=\"_blank\" rel=\"noopener\">KB5013963<\/a>: Windows 10 Version 1507<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5013952\" target=\"_blank\" rel=\"noopener\">KB5013952<\/a>: Windows Server 2016; Windows 10 Version 1607<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5013941\" target=\"_blank\" rel=\"noopener\">KB5013941<\/a>: Windows Server 2019; Windows 10 Version 1809<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5013942\" target=\"_blank\" rel=\"noopener\">KB5013942<\/a>: Windows Server Version 20H2, Windows 10 Version 20H2-21H2<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5013943\" target=\"_blank\" rel=\"noopener\">KB5013943<\/a>: Windows 11<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5013944\" target=\"_blank\" rel=\"noopener\">KB5013944<\/a>: Windows Server 2022<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/help\/5013945\" target=\"_blank\" rel=\"noopener\">KB5013945<\/a>: Windows 10 Version 1909<\/li>\n<\/ul>\n<p>Microsoft hat zudem den Beitrag <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/ADV210003\" target=\"_blank\" rel=\"noopener\">ADV210003 Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)<\/a> zum Sch\u00fctzen der Systeme vor solchen Angriffen ver\u00f6ffentlicht. Weiterhin gibt es noch Supportbeitrag <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429\" target=\"_blank\" rel=\"noopener\">KB5005413: Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)<\/a> zum Thema.<\/p>\n<blockquote><p>Die h\u00e4ufig in Sicherungssoftware verwendete EFS-API OpenEncryptedFileRaw(A\/W funktioniert nach Installation des Sicherheitsupdates nicht mehr unter Windows Server 2008 SP2.<\/p><\/blockquote>\n<h2>Domain-Controller bevorzugt patchen<\/h2>\n<p>Die Schwachstelle hat einen CVSS-Wert von 9.8 erhalten, ist also recht kritisch. Microsoft empfiehlt im Artikel zu <u><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2022-26925\" target=\"_blank\" rel=\"noopener\">CVE-2022-26925<\/a>\u00a0<\/u>der Aktualisierung von Dom\u00e4nencontrollern Priorit\u00e4t einzur\u00e4umen. Blog-Leser Daniele weist in <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/windows-office-mai-2022-patchday-probleme-und-besonderheiten\/#comment-125553\" target=\"_blank\" rel=\"noopener\">diesem Kommentar<\/a> drauf hin, dass die \"Active-Directory-Schwachstelle ist bereits Ziel von Angriffen\" sei. Microsoft schreibt im Artikel zu <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2022-26925\" target=\"_blank\" rel=\"noopener\">CVE-2022-26925<\/a>, dass die Schwachstelle bereits ausgenutzt wird.<\/p>\n<h2>Updates flicken erneut PetitPotam<\/h2>\n<p>Der franz\u00f6sische Sicherheitsforscher Gilles Lionel (Alias Topotam) hatte im Juli 2021 ein Proof of Concept (PoC) zur Ausnutzung eines NTLM-Relay-Angriffs ver\u00f6ffentlicht, mit dem Windows Domain Controller \u00fcbernommen werden k\u00f6nnen (siehe auch <a href=\"https:\/\/borncity.com\/blog\/2021\/07\/24\/petitpotam-angriff-erlaubt-windows-domain-bernahme\/\">PetitPotam-Angriff erlaubt Windows Domain-\u00dcbernahme<\/a>). Er benutzt dazu eine Methode, um einen Dom\u00e4nencontroller zu zwingen, sich gegen\u00fcber einem b\u00f6sartigen NTLM-Relay zu authentifizieren. Dies erm\u00f6glicht, dann die Anfrage \u00fcber HTTP an die Active Directory-Zertifikatsdienste einer Dom\u00e4ne weiter zu\u00a0 leiten. Letztendlich erh\u00e4lt der Angreifer ein Kerberos-Ticket (TGT), mit dem er die Identit\u00e4t eines beliebigen Ger\u00e4ts im Netzwerk, einschlie\u00dflich eines Dom\u00e4nencontrollers, annehmen k\u00f6nnte.<\/p>\n<p>Betroffen waren alle noch im Support befindlichen Windows Server-Varianten. Diese sogenannte Windows LSA Spoofing-Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-36942\" target=\"_blank\" rel=\"noopener\">CVE-2021-36942<\/a> wurde zum 10. August 2021 mit den regul\u00e4ren Sicherheitsupdates geschlossen. Allerdings gab es einen weiteren Angriffsvektor, f\u00fcr den dann Acros-Security einen 0patch-Fix bereitstellte (siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/08\/20\/2-0patch-fix-fr-windows-petitpotam-0-day-schwachstelle-19-aug-2021\/\">2. 0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)<\/a>).<\/p>\n<p>Allerdings gab es einen Fehler nach einer DCOM-H\u00e4rtung durch den September 2021-Patch &#8211; ich hatte im Blog-Beitrag <a title=\"https:\/\/borncity.com\/blog\/2021\/09\/26\/windows-schwachstelle-cve-2021-36942-petitpotam-und-dcom-hrtung\/\" href=\"https:\/\/borncity.com\/blog\/2021\/09\/26\/windows-schwachstelle-cve-2021-36942-petitpotam-und-dcom-hrtung\/\">Windows-Schwachstelle CVE-2021-36942 (Petitpotam) und DCOM-H\u00e4rtung<\/a> auf entsprechende Leserinformationen hingewiesen. Nun haben die Kollegen von Bleeping Computer mal bei Microsoft nachgefragt und erfahren, dass die jetzt geschlossene Sicherheitsl\u00fccke zur PetitPotam-Schwachstelle geh\u00f6rt. Nicolas Krassas weist in diesem <a href=\"https:\/\/twitter.com\/Dinosn\/status\/1525690493732114433\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> auf <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/microsoft-fixes-new-petitpotam-windows-ntlm-relay-attack-vector\/\" target=\"_blank\" rel=\"noopener\">diesen Beitrag<\/a> von Bleeping Computer hin, in der ein erneuter Patch der zu PetitPotam geh\u00f6renden Schwachstelle thematisiert wird.<\/p>\n<p><a href=\"https:\/\/twitter.com\/Dinosn\/status\/1525690493732114433\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"PetitPotam-Patch May 2022\" src=\"https:\/\/i.imgur.com\/SjQYTRm.png\" alt=\"PetitPotam-Patch May 2022\" \/><\/a><\/p>\n<p>Nach den obigen Ausf\u00fchrungen sollten die Sicherheitsupdates vom Mai 2022 zeitnah eingespielt werden. Allerdings stehen diesem Unterfangen zahlreiche Probleme bei der Installation der Updates entgegen, die ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/windows-office-mai-2022-patchday-probleme-und-besonderheiten\/\">Windows, Office: Mai 2022 Patchday-Probleme und Besonderheiten<\/a> aufgegriffen habe. Hervorheben m\u00f6chte ich den Fehler Error 0xc0000135, der durch das kumulative Update <a href=\"https:\/\/support.microsoft.com\/help\/5013943\" target=\"_blank\" rel=\"noopener\">KB5013943<\/a> f\u00fcr Windows 11 hervorgerufen wird, und die Ausf\u00fchrung zahlreicher Anwendungen blockiert. Das Problem ist im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/windows-11-update-kb5013943-erzeugt-fehler-0xc0000135\/\">Windows 11: Update KB5013943 erzeugt Fehler 0xc0000135<\/a> detaillierter und mit Fehlerbehebungsm\u00f6glichkeiten beschrieben. Meinen <a href=\"https:\/\/borncity.com\/win\/2022\/05\/12\/windows-office-mai-2022-patchday-probleme-und-besonderheiten\/\" target=\"_blank\" rel=\"noopener\">Informationen<\/a> nach sind Windows Server Version 20H2 und Windows 10 Version 20H2-21H2 durch das Update <a href=\"https:\/\/support.microsoft.com\/help\/5013942\" target=\"_blank\" rel=\"noopener\">KB5013942<\/a> betroffen.<\/p>\n<p>Zudem gibt es ja 802.1x-Zertifikatsprobleme auf DCs und NPS-Server, die ebenfalls im im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/windows-office-mai-2022-patchday-probleme-und-besonderheiten\/\">Windows, Office: Mai 2022 Patchday-Probleme und Besonderheiten<\/a> angesprochen werden. Mehr Details gibt es im Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/12\/windows-mai-2022-updates-verursachen-ad-authentifizierungsfehler-server-client\/\">Windows Mai 2022-Updates verursachen AD-Authentifizierungsfehler (Server, Client)<\/a>.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2022\/05\/10\/microsoft-security-update-summary-10-mai-2022\/\">Microsoft Security Update Summary (10. Mai 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/patchday-windows-10-updates-10-mai-2022\/\">Patchday: Windows 10-Updates (10. Mai 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/patchday-windows-11-server-2022-updates-10-mai-2022\/\">Patchday: Windows 11\/Server 2022-Updates (10. Mai 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/windows-7-server-2008r2-windows-8-1-server-2012r2-updates-10-mai-2022\/\">Windows 7\/Server 2008R2; Windows 8.1\/Server 2012R2: Updates (10. Mai 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/11\/windows-office-mai-2022-patchday-probleme-und-besonderheiten\/\">Windows, Office: Mai 2022 Patchday-Probleme und Besonderheiten<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2021\/07\/24\/petitpotam-angriff-erlaubt-windows-domain-bernahme\/\">PetitPotam-Angriff erlaubt Windows Domain-\u00dcbernahme<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/25\/microsoft-liefert-workaround-fr-windows-petitpotam-ntlm-relay-angriffe\/\">Microsofts Workaround gegen Windows PetitPotam NTLM-Relay-Angriffe<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/03\/petitpotam-angriffe-auf-windows-durch-filter-blocken\/\">PetitPotam-Angriffe auf Windows durch RPC-Filter blocken<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/07\/0patch-fix-fr-windows-petitpotam-0-day-schwachstelle-6-aug-2021\/\">0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/20\/2-0patch-fix-fr-windows-petitpotam-0-day-schwachstelle-19-aug-2021\/\">2. 0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)<\/a><\/p>\n<h4><a href=\"https:\/\/borncity.com\/blog\/2021\/09\/26\/windows-schwachstelle-cve-2021-36942-petitpotam-und-dcom-hrtung\/\">Windows-Schwachstelle CVE-2021-36942 (Petitpotam) und DCOM-H\u00e4rtung<\/a><\/h4>\n","protected":false},"excerpt":{"rendered":"<p>[English]Noch ein Nachtrag von dieser Woche: Zum Patchday hat Microsoft am 10. Mai 2022 mit seinen Sicherheitsupdate f\u00fcr Windows einige Schwachstellen geschlossen. Eine Schwachstelle (CVE-2022-26925, Windows LSA Spoofing) betrifft NTLM Relay-Angriffe auf Systeme. Die Updates sind ein weiterer Fix der &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/15\/microsoft-fixt-petitpotam-ntlm-relay-schwachstelle-cve-2022-26925-mit-windows-mai-2022-update\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301,3694,2557],"tags":[8324,4328,4315,3288],"class_list":["post-265361","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","category-windows-10","category-windows-server","tag-patchday-5-2022","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265361","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265361"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265361\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265361"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265361"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265361"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}