Beheer

Security
patch

Opnieuw Microsoft-patch voor bijna jaar oud gat

Patch Tuesday pakt verse variant van PetitPotam-gat in Windows aan.

© CC0 - Pixabay Ulleo
11 mei 2022

Patch Tuesday pakt verse variant van PetitPotam-gat in Windows aan.

In de forse lading patches die Microsoft heeft uitgebracht op Patch Tuesday van deze maand zit ook een patch voor het beruchte PetitPotam-gat. Die kwetsbaarheid is inmiddels bijna een jaar oud en blijft Windows-systemen teisteren. Security-onderzoekers weten namelijk nieuwe varianten te vinden, waarna kwaadwillenden die weten te misbruiken. Naast PrintNightmare kampen Windows-beheerders dus ook met aanhoudende PetitPotam-patchproblemen.

De patch voor deze kwetsbaarheid die oorspronkelijk in juli vorig jaar is ontdekt, moet met spoed worden toegepast. Er is nu namelijk sprake van actief misbruik, ofwel aanvallen in de praktijk op kwetsbare Windows-systemen. Cybercriminelen gebruiken een zero-day (CVE-2022-26925) waarmee ze op afstand en zonder authenticatie lokale rechten (LSA, Local Security Authority) weten te spoofen om vervolgens via het NTLM-protocol (NT LAN Manager) diepgaande beheerrechten (op SYSTEM-niveau) te verkrijgen.

Patchen en dan nog aanpassen

Na het installeren van de patch zijn systemen nog niet per se veilig. Microsoft verwijst in de FAQ van zijn securitybulletin nu naar instructies om de standaardconfiguratie van Windows-servers en domain controllers aan te passen. Die instructies zijn van juli vorig jaar toen de oorspronkelijke PetitPotam-kwetsbaarheid is ontdekt. Microsoft heeft toen ook beperkende maatregelen aangedragen om NTLM-aanvallen af te weren. Microsoft was toen niet van plan dit beveiligingsgat te fixen, merkte security-onderzoeker Kevin Beaumont toen op.

De Windows-maker is daar in augustus toch op teruggekomen en heeft toen een patch uitgebracht. Daar komt nu een nieuwe patch bij, voor wat in wezen een PetitPotam-variant is. Microsoft stelt dat een aanval via deze kwetsbaarheid complex is, waardoor het gevaar relatief wat minder groot zou zijn. Toch is er in de praktijk al sprake van actief misbruik. Beheerders krijgen dan ook het advies om deze patch vlot door te voeren, en om daarbij domain controllers voorrang te geven boven gewone servers. Naast Windows Server (sinds versie 2008) zijn ook de clientuitvoeringen van Windows (sinds versie 7) vatbaar.

Berg patches, ook voor printspooler

Ondertussen heeft de lading patches voor de maand mei nog veel meer updates voor vele andere Microsoft-producten gebracht. Naast besturingssysteem Windows en beheersoftware Active Directory betreft dit onder meer bestandssysteem NTFS, dataversleutelingssoftware BitLocker, mail- en agendasoftware Exchange Server, applicatiepakket Office, ontwikkelpakket Visual Studio, en ook de Print Spooler Components in Windows.

Laatstgenoemde is sinds juni vorig jaar verantwoordelijk voor aanhoudende securityproblemen die de naam PrintNightmare hebben gekregen. Ook nu spelen er nieuwe problemen met de printspooler ingebouwd in Windows. Patch Tuesday brengt nu fixes voor twee kwetsbaarheden waarlangs informatie valt buit te maken (CVE-2022-29114 en CVE-2022-29140), plus twee kwetsbaarheden waarmee aanvallers zich hogere rechten kunnen toekennen (CVE-2022-29104 en CVE-2022-29132).

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.