Overslaan en naar de inhoud gaan

Opnieuw Microsoft-patch voor bijna jaar oud gat

In de forse lading patches die Microsoft heeft uitgebracht op Patch Tuesday van deze maand zit ook een patch voor het beruchte PetitPotam-gat. Die kwetsbaarheid is inmiddels bijna een jaar oud en blijft Windows-systemen teisteren. Security-onderzoekers weten namelijk nieuwe varianten te vinden, waarna kwaadwillenden die weten te misbruiken. Naast PrintNightmare kampen Windows-beheerders dus ook met aanhoudende PetitPotam-patchproblemen.
patch
© CC0 - Pixabay
CC0 - Pixabay

De patch voor deze kwetsbaarheid die oorspronkelijk in juli vorig jaar is ontdekt, moet met spoed worden toegepast. Er is nu namelijk sprake van actief misbruik, ofwel aanvallen in de praktijk op kwetsbare Windows-systemen. Cybercriminelen gebruiken een zero-day (CVE-2022-26925) waarmee ze op afstand en zonder authenticatie lokale rechten (LSA, Local Security Authority) weten te spoofen om vervolgens via het NTLM-protocol (NT LAN Manager) diepgaande beheerrechten (op SYSTEM-niveau) te verkrijgen.

Patchen en dan nog aanpassen

Na het installeren van de patch zijn systemen nog niet per se veilig. Microsoft verwijst in de FAQ van zijn securitybulletin nu naar instructies om de standaardconfiguratie van Windows-servers en domain controllers aan te passen. Die instructies zijn van juli vorig jaar toen de oorspronkelijke PetitPotam-kwetsbaarheid is ontdekt. Microsoft heeft toen ook beperkende maatregelen aangedragen om NTLM-aanvallen af te weren. Microsoft was toen niet van plan dit beveiligingsgat te fixen, merkte security-onderzoeker Kevin Beaumont toen op.

De Windows-maker is daar in augustus toch op teruggekomen en heeft toen een patch uitgebracht. Daar komt nu een nieuwe patch bij, voor wat in wezen een PetitPotam-variant is. Microsoft stelt dat een aanval via deze kwetsbaarheid complex is, waardoor het gevaar relatief wat minder groot zou zijn. Toch is er in de praktijk al sprake van actief misbruik. Beheerders krijgen dan ook het advies om deze patch vlot door te voeren, en om daarbij domain controllers voorrang te geven boven gewone servers. Naast Windows Server (sinds versie 2008) zijn ook de clientuitvoeringen van Windows (sinds versie 7) vatbaar.

Berg patches, ook voor printspooler

Ondertussen heeft de lading patches voor de maand mei nog veel meer updates voor vele andere Microsoft-producten gebracht. Naast besturingssysteem Windows en beheersoftware Active Directory betreft dit onder meer bestandssysteem NTFS, dataversleutelingssoftware BitLocker, mail- en agendasoftware Exchange Server, applicatiepakket Office, ontwikkelpakket Visual Studio, en ook de Print Spooler Components in Windows.

Laatstgenoemde is sinds juni vorig jaar verantwoordelijk voor aanhoudende securityproblemen die de naam PrintNightmare hebben gekregen. Ook nu spelen er nieuwe problemen met de printspooler ingebouwd in Windows. Patch Tuesday brengt nu fixes voor twee kwetsbaarheden waarlangs informatie valt buit te maken (CVE-2022-29114 en CVE-2022-29140), plus twee kwetsbaarheden waarmee aanvallers zich hogere rechten kunnen toekennen (CVE-2022-29104 en CVE-2022-29132).

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in