微軟于近期解決了一個積極利用的Windows LSA零日漏洞，未經身份驗證的攻擊者可以遠程利用該漏洞來強制域控制器通過Windows NT LAN Manager (NTLM)安全協議對其進行身份驗證。LSA(Local Security Authority的縮寫)是一個受保護的Windows子系統，它強制執行本地安全策略并驗證用戶的本地和遠程登錄。該漏洞編號為CVE-2022-26925，是由Bertelsmann Printing Group的Raphael John報告的，據調查，該漏洞在野已被利用，似乎是PetitPotam NTLM中繼攻擊的新載體。

安全研究員GILLES Lionel于2021年7月發現該變體，且微軟一直在阻止PetitPotam變體，不過官網的一些舉措仍然沒有阻止其變體的出現。LockFile勒索軟件組織就濫用PetitPotam NTLM中繼攻擊方法來劫持Windows域并部署惡意負載。對此，微軟建議Windows管理員檢查針對Active Directory證書服務(AD CS)上的NTLM中繼攻擊的PetitPotam緩解措施，以獲取有關保護其系統免受CVE-2022-26925攻擊的信息。

通過強制認證提升權限

通過使用這種新的攻擊向量，威脅行為者可以攔截可用于提升權限的合法身份驗證請求，這可能會導致整個域受到破壞。不過攻擊者只能在高度復雜的中間人攻擊(MITM)中濫用此安全漏洞，他們能夠攔截受害者和域控制器之間的流量以讀取或修改網絡通信。

微軟在其發布的公告中解釋：未經身份驗證的攻擊者可以調用LSARPC接口并強制域控制器使用NTLM 對攻擊者進行身份驗證。此安全更新檢測到LSARPC中的匿名連接嘗試并禁止它。且此漏洞影響所有服務器，但在應用安全更新方面應優先考慮域控制器。在運行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系統上安裝這些更新可能會帶來不利影響，因為它們會破壞某些供應商的備份軟件。

CVE-2022-26925影響所有Windows版本，包括客戶端和服務器平臺，從Windows7和 Windows Server 2008到Windows 11和Windows 2022。不過在今年五月份的微軟Patch Tuesday，微軟已經和其他兩個漏洞一起修補了該零日漏洞，一個是Windows Hyper-V 拒絕服務漏洞 (CVE-2022-22713)、還有一個是Magnitude Simba Amazon Redshift ODBC 驅動程序漏洞 (CVE-2022-29972)。