CISA fordert US-Einrichtungen zum Patchen von CVE-2022-26925 in AD-Umgebungen auf

Windows[English]Zum 1. Juli 2022 hat die US Cybersecurity & Infrastructur Security Agency (CISA) erneut den Patch für die Schwachstelle CVE-2022-26925 (Active Directory) in die Liste der zu schließenden Schwachstellen aufgenommen (soll bis 22. 7. 2022 geschlossen werden). Der Patch war nach Problemen im Mai 2022 temporär von der Liste gestrichten worden – aber die Juni 2022 -Updates für Windows sollen die Schwachstelle schließen, ohne dass es Probleme gibt.


Anzeige

Das AD-Updates und die CISA-Warnung

Zum 10. Mai 2022 hatte Microsoft Sicherheitsupdates für Windows veröffentlicht, die auch eine Windows LSA Spoofing-Schwachstelle (CVE-2022-26925) schließen sollte. Ich hatte unter anderem im Blog-Beitrag Microsoft fixt (PetitPotam) NTLM Relay-Schwachstelle (CVE-2022-26925) mit Windows Mai 2022-Update über den Patch berichtet.

Dieser Fix sollte dazu dienen, NTLM Relay-Angriffe auf Systeme mit Active Directory über die 2021 bekannt gewordene PetitPotam-Schwachstelle zu verhindern. Die Schwachstelle für Angriffe wird seit einiger Zeit auf das Active Directory ausgenutzt. Es gab die Empfehlung, die Updates zeitnah zu installieren, wobei aber Kollateralschäden auftreten konnten.

Mitte Mai 2022 gab es dann von der CISA überraschend die Information, dass der Fix zum Schließen der Schwachstelle von der Liste bekannter Sicherheitsrisiken temporär entfernt hatte. Das bedeutete, dass Administratoren wegen der Fehler dieses Updates nicht auf Windows Domänencontrollern installieren mussten.

Juni 2022-Updates beheben das Problem

Es gab bereits zum 19. Mai 2022 Sonderupdates, die das Problem patchen sollten  – siehe Windows Out-of-Band-Updates (19.5.2022) fixen AD-Authentifizierungsfehler und Store-Installationsfehler. Zum Juni 2022-Patchday hat Microsoft dann erneut korrigierte Sicherheitsupdate für Windows freigegeben, bei denen auch die Windows LSA Spoofing-Schwachstelle (CVE-2022-26925) geschlossen wurde. Auch diese Updates verursachen Kollateralschäden (siehe Links am Artikelende). Einige dieser Probleme (z.B. beim WLAN-Hotspot) wurden im Rahmen der Preview-Updates für Juni 2022 geschlossen und Microsoft will die RDP-, VPN- und WLAN-Hotspot-Probleme mit den regulären Juli 2022 Patchday-Updates beseitigen.

Zum 1. Juli 2022 hat die US-CISA daher die Schwachstelle CVE-2022-26925 erneut in den Known Exploited Vulnerability Catalog aufgenommen und schreibt unter CISA Adds One Known Exploited Vulnerability to Catalog, dass die Juni 2022-Updates von Microsoft diese Sicherheitslücke beseitigen. Allerdings gibt es eine Hürde, denn das Microsoft-Update enthält auch Abhilfemaßnahmen für CVE-2022-26923 und CVE-2022-26931. Dadurch wird die Art und Weise geändert, wie Zertifikate Konten in Active Directory zugewiesen werden. Durch diese Änderungen wird die Zertifikatsauthentifizierung für viele Bundesbehörden unterbrochen.

Aus diesem Grund hat die CISA auch einen Wissensartikel veröffentlicht, der wichtige Schritte enthält, die befolgt werden müssen, um Dienstausfälle zu verhindern. Die Agenturen sollten diesen Wissensartikel sorgfältig lesen, bevor sie mit der Schadensbegrenzung beginnen. Bleeping Computer hatte bereits zum Wochenende auf diesen Sachverhalt hingewiesen. Gibt es unter der Leserschaft noch Administratoren, die die Juni 2022-Updates wegen Problemen nicht in ihrer AD-Umgebung installieren konnten?

Ähnliche Artikel:
Patchday: Windows 10-Updates (14. Juni 2022)
Patchday: Windows 11/Server 2022-Updates (14. Juni 2022)
Windows 7/Server 2008R2; Windows 8.1/Server 2012R2: Updates (14. Juni 2022)

Patchday-Nachlese Juni 2022: Probleme mit Windows-Updates, Intel-Schwachstelle, Dokumentation
Juni 2022 Patchday-Nachlese (Teil 2): RDP-, VPN-, WLAN-, Hotspot-Verbindungsprobleme und mehr
Juni 2022-Updates: Probleme mit RDP unter Windows, BlackBerry UEM BSCP als Ursache?


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows Server abgelegt und mit Sicherheit, Windows Server verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu CISA fordert US-Einrichtungen zum Patchen von CVE-2022-26925 in AD-Umgebungen auf

  1. Robert sagt:

    RDP-/VPN-Probleme

    …konnte ich nicht feststellen, WENN kein NAT im Spiel ist. Hatte auch sehr lange verschiedene Szenarien getestet und -so wie es aussieht- Probleme existieren nur, bei der Verwendung von NAT. Dial-In VPN (RRAS) läuft einwandfrei incl. RDP über die VPN Verbindung, solange NAT nicht dabei ist. RDP alleine (ohne RRAS) macht auch keine Probleme. Hat mich diesmal unendlich viel Zeit gekostet, nur weil MS nicht die Hausaufgaben gemacht hatte :( !

    siehe auch den inzwischen von MS hinzugefügten Hinweis:

    "After installing this update, Windows Servers which use the Routing and Remote Access Service (RRAS) might be unable to correctly direct Internet traffic. Devices which connect to the server might not connect to the Internet, and servers can lose connection to the Internet after a client device connects."

    und weiter…

    "To temporarily workaround this issue, disable the NAT feature on the RRAS server. To do this, click to clear the "Enable NAT on this interface" check box on the NAT tab.
    For more information, see step 7 of the Enable and Configure NAT article on the Microsoft Docs website. https://docs.microsoft.com/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd469812(v=ws.11)
    We are currently investigating and will provide an update in an upcoming release."

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.