CISA fordert US-Einrichtungen zum Patchen von CVE-2022-26925 in AD-Umgebungen auf

[English]Zum 1. Juli 2022 hat die US Cybersecurity & Infrastructur Security Agency (CISA) erneut den Patch für die Schwachstelle CVE-2022-26925 (Active Directory) in die Liste der zu schließenden Schwachstellen aufgenommen (soll bis 22. 7. 2022 geschlossen werden). Der Patch war nach Problemen im Mai 2022 temporär von der Liste gestrichten worden – aber die Juni 2022 -Updates für Windows sollen die Schwachstelle schließen, ohne dass es Probleme gibt.

Das AD-Updates und die CISA-Warnung

Zum 10. Mai 2022 hatte Microsoft Sicherheitsupdates für Windows veröffentlicht, die auch eine Windows LSA Spoofing-Schwachstelle (CVE-2022-26925) schließen sollte. Ich hatte unter anderem im Blog-Beitrag Microsoft fixt (PetitPotam) NTLM Relay-Schwachstelle (CVE-2022-26925) mit Windows Mai 2022-Update über den Patch berichtet.

Dieser Fix sollte dazu dienen, NTLM Relay-Angriffe auf Systeme mit Active Directory über die 2021 bekannt gewordene PetitPotam-Schwachstelle zu verhindern. Die Schwachstelle für Angriffe wird seit einiger Zeit auf das Active Directory ausgenutzt. Es gab die Empfehlung, die Updates zeitnah zu installieren, wobei aber Kollateralschäden auftreten konnten.

Mitte Mai 2022 gab es dann von der CISA überraschend die Information, dass der Fix zum Schließen der Schwachstelle von der Liste bekannter Sicherheitsrisiken temporär entfernt hatte. Das bedeutete, dass Administratoren wegen der Fehler dieses Updates nicht auf Windows Domänencontrollern installieren mussten.

Juni 2022-Updates beheben das Problem

Es gab bereits zum 19. Mai 2022 Sonderupdates, die das Problem patchen sollten  – siehe Windows Out-of-Band-Updates (19.5.2022) fixen AD-Authentifizierungsfehler und Store-Installationsfehler. Zum Juni 2022-Patchday hat Microsoft dann erneut korrigierte Sicherheitsupdate für Windows freigegeben, bei denen auch die Windows LSA Spoofing-Schwachstelle (CVE-2022-26925) geschlossen wurde. Auch diese Updates verursachen Kollateralschäden (siehe Links am Artikelende). Einige dieser Probleme (z.B. beim WLAN-Hotspot) wurden im Rahmen der Preview-Updates für Juni 2022 geschlossen und Microsoft will die RDP-, VPN- und WLAN-Hotspot-Probleme mit den regulären Juli 2022 Patchday-Updates beseitigen.

Zum 1. Juli 2022 hat die US-CISA daher die Schwachstelle CVE-2022-26925 erneut in den Known Exploited Vulnerability Catalog aufgenommen und schreibt unter CISA Adds One Known Exploited Vulnerability to Catalog, dass die Juni 2022-Updates von Microsoft diese Sicherheitslücke beseitigen. Allerdings gibt es eine Hürde, denn das Microsoft-Update enthält auch Abhilfemaßnahmen für CVE-2022-26923 und CVE-2022-26931. Dadurch wird die Art und Weise geändert, wie Zertifikate Konten in Active Directory zugewiesen werden. Durch diese Änderungen wird die Zertifikatsauthentifizierung für viele Bundesbehörden unterbrochen.

Aus diesem Grund hat die CISA auch einen Wissensartikel veröffentlicht, der wichtige Schritte enthält, die befolgt werden müssen, um Dienstausfälle zu verhindern. Die Agenturen sollten diesen Wissensartikel sorgfältig lesen, bevor sie mit der Schadensbegrenzung beginnen. Bleeping Computer hatte bereits zum Wochenende auf diesen Sachverhalt hingewiesen. Gibt es unter der Leserschaft noch Administratoren, die die Juni 2022-Updates wegen Problemen nicht in ihrer AD-Umgebung installieren konnten?

Ähnliche Artikel:
Patchday: Windows 10-Updates (14. Juni 2022)
Patchday: Windows 11/Server 2022-Updates (14. Juni 2022)
Windows 7/Server 2008R2; Windows 8.1/Server 2012R2: Updates (14. Juni 2022)

Patchday-Nachlese Juni 2022: Probleme mit Windows-Updates, Intel-Schwachstelle, Dokumentation
Juni 2022 Patchday-Nachlese (Teil 2): RDP-, VPN-, WLAN-, Hotspot-Verbindungsprobleme und mehr
Juni 2022-Updates: Probleme mit RDP unter Windows, BlackBerry UEM BSCP als Ursache?