CVE-2022-26925

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-07-01

Официальное описание

Microsoft Windows Local Security Authority (LSA) contains a spoofing vulnerability where an attacker can coerce the domain controller to authenticate to the attacker using NTLM.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-26925 — это критическая уязвимость типа Spoofing в службе Local Security Authority (LSA), позволяющая реализовать атаку методом принудительной аутентификации (Coerced Authentication). Злоумышленник может отправить специально сформированный запрос к интерфейсу LSARPC, заставляя контроллер домена (DC) аутентифицироваться на произвольном узле через протокол NTLM.

Эта уязвимость часто используется в связке с атаками NTLM Relay (например, на сервисы сертификации Active Directory — AD CS), что позволяет атакующему перехватить хэш пароля учетной записи компьютера контроллера домена и полностью скомпрометировать домен Active Directory.

Как исправить

Основным методом устранения является установка официальных обновлений безопасности Microsoft от мая 2022 года (или более поздних кумулятивных обновлений).

  1. Установите актуальные обновления через Windows Update или WSUS на все контроллеры домена.
  2. После установки обновлений необходимо убедиться, что включена расширенная защита аутентификации (Extended Protection for Authentication — EPA) на сервисах, которые могут быть целью Relay-атак (например, AD CS).

Для проверки версии ОС и наличия установленных патчей в PowerShell:

Get-HotFix | Where-Object {$_.HotFixID -match "KB5014001" -or $_.HotFixID -match "KB5013944"}

Временные меры

Если немедленная установка патчей невозможна, необходимо минимизировать векторы атаки:

  1. Отключите NTLM на контроллерах домена там, где это возможно, в пользу Kerberos.
  2. Если в сети используется AD CS (Active Directory Certificate Services), отключите поддержку HTTP на серверах сертификации или включите Extended Protection (EPA) и принудительное использование SSL (Require SSL).
  3. Ограничьте исходящий NTLM-трафик от контроллеров домена с помощью групповых политик (GPO).

Команда для настройки политики "Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers" через реестр (установка значения 2 — Deny all):

Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "RestrictSendingNTLMTraffic" -Value 2
  1. Добавьте привилегированные учетные записи в группу "Protected Users", чтобы предотвратить использование NTLM для этих аккаунтов.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей