CISA：不要在有域控制器的設(shè)備上安裝Windows五月更新

在本月補丁星期二活動日放出的累積更新中，微軟修復(fù)了追蹤號為 CVE-2022-26925 的 Windows Local Security Authority (LSA) 欺騙漏洞。這個嚴(yán)重性很高的漏洞使未經(jīng)認(rèn)證的攻擊者能夠匿名調(diào)用一個方法，并迫使域控制器(DC)通過 NTLM 對他們進(jìn)行認(rèn)證。在最壞的情況下，這可能導(dǎo)致權(quán)限提升，攻擊者控制整個域。

這個漏洞是很重要的，因為美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)曾規(guī)定，聯(lián)邦民用行政部門機構(gòu)(FCEB)應(yīng)在三周內(nèi)安裝這些更新，以保護(hù)自己免受這個攻擊面和其他攻擊。然而，它現(xiàn)在已經(jīng)取消了這一要求，因為最新的"補丁星期二"更新在安裝到 DC 上時也會引起認(rèn)證問題。

公告上的說明是這樣的:

在客戶端 Windows 設(shè)備和非域控制器 Windows 服務(wù)器上安裝 2022 年5月10日發(fā)布的更新，不會導(dǎo)致這個問題，仍然強烈鼓勵。這個問題只影響到安裝在作為域控制器的服務(wù)器上的2022年5月10日的更新。組織應(yīng)該繼續(xù)對客戶端Windows設(shè)備和非域控制器Windows服務(wù)器應(yīng)用更新。

在關(guān)于這個問題的咨詢中，微軟說：“在你的域控制器上安裝 2022 年 5 月 10 日發(fā)布的更新后，你可能會在服務(wù)器或客戶端看到網(wǎng)絡(luò)策略服務(wù)器(NPS)、路由和遠(yuǎn)程訪問服務(wù)(RRAS)、Radius、可擴展認(rèn)證協(xié)議(EAP)和受保護(hù)可擴展認(rèn)證協(xié)議(PEAP)等服務(wù)的認(rèn)證失敗。已發(fā)現(xiàn)一個與域控制器如何處理證書與機器賬戶的映射有關(guān)的問題”。

微軟分享了受影響平臺列表

客戶端：

● Windows 11 Version 21H2

● Windows 10 Version 21H2

● Windows 10 Version 21H1

● Windows 10 Version 20H2

● Windows 10 Version 1909

● Windows 10 Version 1809

● Windows 10 Enterprise LTSC 2019

● Windows 10 Enterprise LTSC 2016

● Windows 10 Version 1607

● Windows 10 Enterprise 2015 LTSB

● Windows 8.1

● Windows 7 SP1

服務(wù)器:

● Windows Server 2022

● Windows Server Version 20H2

● Windows Server Version 1909

● Windows Server Version 1809

● Windows Server 2019

● Windows Server 2016

● Windows Server 2012 R2

● Windows Server 2012

● Windows Server 2008 R2 SP1

● Windows Server 2008 SP2

這些問題主要是由 Windows Kerberos 和活動目錄域服務(wù)的兩個補丁引起的，分別被追蹤為 CVE-2022-26931 和 CVE-2022-26923。而由于不可能在你想安裝的補丁中進(jìn)行挑選，CISA 不再鼓勵 IT 管理員不在 DC 上安裝5月的補丁星期二。

目前，微軟已經(jīng)提供了一個解決方法，包括手動映射證書。

同時，微軟還提供了一個臨時解決方案：

這個問題的首選緩解措施是手動將證書映射到活動目錄中的機器賬戶。有關(guān)說明，請見證書映射。注意：對于將證書映射到活動目錄中的用戶或機器賬戶，其說明是相同的。

如果首選的緩解措施在你的環(huán)境中不起作用，請參見 KB5014754-Windows 域控制器上基于證書的認(rèn)證變化，了解 Schannel 注冊表密鑰部分的其他可能緩解措施。注意：除了首選的緩解措施，任何其他緩解措施都可能降低或禁用安全加固。

它還強烈強調(diào)，應(yīng)用任何其他緩解措施都可能對你的組織的安全態(tài)勢產(chǎn)生負(fù)面影響。鑒于CISA不鼓勵FCEB完全在Windows服務(wù)器DC上安裝5月補丁星期二的更新，微軟可能希望盡快推出一個更永久的修復(fù)方案。