CISA alerta que no se instalen los parches de Windows, liberados en mayo, en los servidores de Directorio Activo
AS-048-2022
Fecha: 17/May/2022
Resumen:
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) eliminó una falla de seguridad de Windows de su catálogo de vulnerabilidades explotadas conocidas debido a problemas de autenticación de Active Directory (AD) causados por las actualizaciones de mayo de 2022 que lo parchearon.
El fallo de seguridad catálogado con el CVE-2022-26925 es un nuevo vector de ataque PetitPotam para Windows NTLM Relay.
Los atacantes no autenticados abusan del CVE-2022-26925 para obligar a los controladores de dominio a autenticarlos de forma remota a través del protocolo de seguridad de Windows NT LAN Manager (NTLM) y, probablemente, obtener el control de todo el dominio de Windows.
Sin embargo, los parches de seguridad den mayo, que además arregla dos vulnerabilidades de elevaciones de privilegios en Windows Kerberos y Active Directory Domain Services (registrados con CVE-2022-26931 y CVE-2022-26923), están causando problemas en el servicio de autenticación cuando se implementa en controladores de dominio de Windows Server.
Como señaló CISA, "la instalación de actualizaciones lanzadas el 10 de mayo de 2022 en dispositivos cliente de Windows y servidores de Windows sin controlador de dominio no causará problemas con los servicios de autenticación, y aún se recomienda encarecidamente su implementación".
Quien haya implementado los parches de seguridad en controladores de dominio puede aplicar fix temporales recomendados por el fabricante; aunque, según usuarios que se comunicaron con Bleeping Computer, la única forma en que pudieron iniciar sesión después de instalar la actualización de Windows de mayo de 2022 fue deshabilitar la clave StrongCertificateBindingEnforcement configurándola en 0.
Si esta llave no está disponible en el regedit, puede crearse desde cero utilizando un tipo de datos REG_DWORD y establecerlo en 0 para desactivar la verificación de asignación de certificados seguros (aunque Microsoft no lo recomienda, esta es la única forma de permitir que todos los usuarios para iniciar sesión en algunos entornos).
Referencia:
