{"id":265407,"date":"2022-05-17T07:02:50","date_gmt":"2022-05-17T05:02:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265407"},"modified":"2022-05-20T08:55:39","modified_gmt":"2022-05-20T06:55:39","slug":"cisa-warnt-vor-installation-der-mai-2022-updates-auf-windows-domain-controllern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/17\/cisa-warnt-vor-installation-der-mai-2022-updates-auf-windows-domain-controllern\/","title":{"rendered":"CISA warnt vor Installation der Mai 2022-Updates auf Windows Domain Controllern"},"content":{"rendered":"

\"Windows\"[English<\/a>]Die US-CERT CISA (Cybersecurity & Infrastructure Security Agency) hat die Schwachstelle CVE-2022-26925 vor\u00fcbergehend aus dem Katalog der bekannten Sicherheitsl\u00fccken (Known Exploited Vulnerabilities) entfernt und warnt US-Organisationen davor, die Mai 2022-Updates f\u00fcr Windows auf Maschinen zu installieren, die als Domain Controller fungieren. Damit reagiert die Beh\u00f6rde auf die Authentifizierungsprobleme im Zusammenhang mit den Updates und DCs. Erg\u00e4nzung:<\/strong> Es gibt einen Fix.<\/p>\n

<\/p>\n

Die CISA-Warnung<\/h2>\n

\"\"Die Warnung der Cybersecurity & Infrastructure Security Agency (US-CERT CISA) findet sich in nachfolgendem Tweet<\/a> vom 14. Mai 2022 (ich hier<\/a> auf die Thematik aufmerksam geworden) und ist im Detail in diesem Beitrag<\/a> nachzulesen. Die Aussage:<\/p>\n

\"CISA<\/a><\/p>\n

Die CISA entfernt CVE-2022-26925 vor\u00fcbergehend aus ihrem Katalog bekannter Sicherheitsrisiken, da das Risiko von Authentifizierungsfehlern besteht, wenn das Microsoft (Rollup-)Update vom 10. Mai 2022 auf Dom\u00e4nencontrollern angewendet wird. Nach der Installation des Rollup-Updates vom 10. Mai 2022 auf Dom\u00e4nencontrollern kann es in Unternehmen zu Authentifizierungsfehlern auf dem Server oder Client f\u00fcr Dienste wie Network Policy Server (NPS), Routing and Remote Access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) und Protected Extensible Authentication Protocol (PEAP) kommen.<\/p><\/blockquote>\n

Die CISA gibt kein einzelnes Update an, betroffen sind aber alle im Support befindlichen Windows Server, die als Domain Controller fungieren. Microsoft hat die CISA \u00fcber dieses Problem mit der Zuordnung von Zertifikaten zu Computerkonten auf Dom\u00e4nencontroller informiert. Die Installation der gleichen Windows-Updates vom 10. Mai 2022 wird jedoch f\u00fcr Clients und Windows-Server, die keine Dom\u00e4nencontroller sind, dringend empfohlen. Dort gibt es das Zertifikatsproblem nicht.<\/p>\n

Der Hintergrund<\/h2>\n

Zum 10. Mai 2022 hat Microsoft Sicherheitsupdates f\u00fcr alle unterst\u00fctzten Windows-Versionen (Clients und Server) zum Schlie\u00dfen der Windows LSA Spoofing-Schwachstelle CVE-2022-26925<\/a><\/u> ver\u00f6ffentlicht. \u00dcber diese Schwachstelle k\u00f6nnte ein nicht authentifizierter Angreifer eine Methode der LSARPC-Schnittstelle aufrufen und Dom\u00e4nencontroller dazu zwingen, sich mit NTLM beim Angreifer zu authentifizieren. Die Schwachstelle hat einen CVSS-Wert von 9.8 erhalten, ist also recht kritisch. Microsoft empfiehlt im Artikel zu CVE-2022-26925<\/a> <\/u>der Aktualisierung von Dom\u00e4nencontrollern Priorit\u00e4t einzur\u00e4umen.<\/p>\n

Ich hatte die ver\u00f6ffentlichten Updates u.a. im Blog-Beitrag Microsoft fixt (PetitPotam) NTLM Relay-Schwachstelle (CVE-2022-26925) mit Windows Mai 2022-Update<\/a> aufgef\u00fchrt und dort auch einiges zur Schwachstelle geschrieben. Das Problem bei diesem Ansatz ist, dass durch die Updates Authentifizierungsfehler (Zertifikate-Fehler) hervorgerufen werden, wenn sich Clients oder Server am jeweiligen Domain Controller anmelden wollen. Ich hatte dies im Blog-Beitrag Windows Mai 2022-Updates verursachen AD-Authentifizierungsfehler (Server, Client)<\/a> angesprochen.<\/p>\n

Microsoft hat den Fehler best\u00e4tigt und arbeitet an einem Fix (siehe You might see authentication failures on the server or client for services<\/a>). Als Notl\u00f6sung wird die manuelle Zuordnung von Zertifikaten zu einem Maschinenkonto im Active Directory vorgeschlagen. Microsoft hat zudem den Beitrag ADV210003 Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)<\/a> zum Sch\u00fctzen der Systeme vor solchen Angriffen ver\u00f6ffentlicht. Weiterhin gibt es noch Supportbeitrag KB5005413: Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)<\/a> zum Thema. Wenn die bevorzugte Abhilfema\u00dfnahme in Ihrer Umgebung nicht funktioniert, finden sich unter KB5014754\u2014Certificate-based authentication changes on Windows domain controllers<\/a> weitere m\u00f6gliche Abhilfema\u00dfnahmen im Abschnitt SChannel-Registrierungsschl\u00fcssel.<\/p>\n

W\u00e4hrend Microsoft die Deinstallation des Updates nicht empfiehlt, hat die CISA jetzt aber die zu schlie\u00dfende Schwachstelle von der Liste bekannter Sicherheitsrisiken tempor\u00e4r entfernt. Das bedeutet, dass Administratoren wegen der Fehler dieses Updates vorerst nicht auf Windows Dom\u00e4nencontrollern installieren m\u00fcssen.<\/p>\n

Erg\u00e4nzung:<\/strong> Im Artikel Microsoft fixt (PetitPotam) NTLM Relay-Schwachstelle (CVE-2022-26925) mit Windows Mai 2022-Update<\/a>habe ich die Mai 2022-Updates aufgelistet.<\/p>\n

Erg\u00e4nzung 2:<\/strong>\u00a0Es gibt ein Sonderupdate vom 19. Mai 2022, was das Problem patchen soll \u2013 siehe\u00a0Windows Out-of-Band-Updates (19.5.2022) fixen AD-Authentifizierungsfehler und Store-Installationsfehler<\/a>.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Microsoft Security Update Summary (10. Mai 2022)<\/a>
\nPatchday: Windows 10-Updates (10. Mai 2022)<\/a>
\nPatchday: Windows 11\/Server 2022-Updates (10. Mai 2022)<\/a>
\nWindows 7\/Server 2008R2; Windows 8.1\/Server 2012R2: Updates (10. Mai 2022)<\/a>
\nExchange Server Sicherheitsupdates (10. Mai 2022)<\/a>
\nMicrosoft fixt (PetitPotam) NTLM Relay-Schwachstelle (CVE-2022-26925) mit Windows Mai 2022-Update<\/a><\/p>\n

Patchday-Nachlese: Probleme mit April 2022-Updates<\/a>
\nWindows, Office: Mai 2022 Patchday-Probleme und Besonderheiten<\/a>
\nWindows 11: Update KB5013943 erzeugt Fehler 0xc0000135<\/a>
\nWindows 11 Update KB5013943 verursacht Probleme mit DATEV (0xc0000135)<\/a>
\nWindows Mai 2022-Updates verursachen AD-Authentifizierungsfehler (Server, Client)<\/a>
\nWindows 11 Update KB5013943 erzeugt BlueScreens mit Sophos-Treiber<\/a>
\nWindows Server 2022: M\u00e4rz 2022-Update KB5011497 verursacht Probleme mit Remote-Desktop-Rollen\/-Verbindungen<\/a>
\nWindows Server 2022: L\u00f6sung f\u00fcr Remote Desktop-Probleme mit Update KB5011497<\/a>
\nWindows Server 2022: Wie ist der Status beim RDS-Bug (RDCB-Rolle), verursacht durch KB5011497?<\/a>
\nWindows Update KB5012599: Fix f\u00fcr Installationsfehler 0x8024200B und 0x800F0831 kommt<\/a>
\nMicrosoft fixt (PetitPotam) NTLM Relay-Schwachstelle (CVE-2022-26925) mit Windows Mai 2022-Update<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die US-CERT CISA (Cybersecurity & Infrastructure Security Agency) hat die Schwachstelle CVE-2022-26925 vor\u00fcbergehend aus dem Katalog der bekannten Sicherheitsl\u00fccken (Known Exploited Vulnerabilities) entfernt und warnt US-Organisationen davor, die Mai 2022-Updates f\u00fcr Windows auf Maschinen zu installieren, die als Domain Controller … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,2557],"tags":[8324,24,4328,4315,4364],"class_list":["post-265407","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-server","tag-patchday-5-2022","tag-problem","tag-sicherheit","tag-update","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265407","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265407"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265407\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265407"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265407"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265407"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}