NESABAMEDIA.COM – CISA ha agregado nuevamente un error de seguridad que afecta a los dispositivos Windows a la lista de errores que han sido explotados, después de que previamente eliminaron este error de la lista en mayo debido a un problema con la certificación de autenticación de Azure Active Directory de Microsoft en Actualización del mes de mayo de 2022.
Esta vulnerabilidad se está explotando activamente y la Autoridad de Seguridad Local de Windows (LSA) rastreó esta vulnerabilidad como CVE-2022-26925 y confirmó que esta vulnerabilidad es un nuevo vector de ataque de PetitPotam Windows NTLM Relay.
Los atacantes no autenticados pueden aprovechar este error para obligar a los controladores de dominio a autenticarlos de forma remota a través del protocolo de seguridad de Windows NT LAN Manager (NTLM) y, posiblemente, apoderarse de dominios completos de Windows.
PetitPotam fue descubierto por el investigador de seguridad Gilles Lionel en julio de 2021, y Microsoft intentó bloquear nuevas variaciones descubiertas desde entonces.
Pero en este punto, a pesar de todos los esfuerzos de Microsoft, la mitigación oficial y las actualizaciones de seguridad posteriores aún no han bloqueado por completo todos los vectores de PetitPotam.
Para poner en perspectiva la gravedad de esto, varios ciberdelincuentes han aprovechado este error. Entre ellos, los afiliados del ransomware LockFile han comprometido dominios de Windows en un ataque de retransmisión NTLM de PetitPotam para difundir la carga maliciosa.
Como advirtió CISA cuando eliminó CVE-2022-26925 de su catálogo de vulnerabilidades explotadas conocidas, la actualización de seguridad del martes de parches de mayo de 2022 que corrige este error también desencadena problemas de autenticación del servicio cuando se aplica a los controladores de dominio de Windows Server.
Ayer, la agencia de ciberseguridad CISA publicó una nueva directiva para abordar CVE-2022-26925, que debe seguirse para evitar que se produzcan ataques. También pidieron al Poder Ejecutivo Civil Federal (FCEB) que aplique las actualizaciones de Windows publicadas el 14 de junio antes del 22 de julio de 2022.
Aunque el objetivo principal de este error son las agencias federales, sin embargo CISA También pidió a todas las organizaciones tanto privadas como gubernamentales que prioricen las actualizaciones para evitar la explotación de esta vulnerabilidad.
