微软本周为其 Endpoint Configuration Manager 解决方案发布了一个带外更新,以修补一个漏洞,该漏洞可能对黑客目标组织网络中移动有用,该漏洞被跟踪为CVE-2022-37972。据悉,Trimarc Security 的Brandon Colley报告了该漏洞。
微软在其公告中表示,没有证据表明该漏洞被利用,但该漏洞已被公开披露。
Prajwal Desai 发表了一篇描述补丁的简短博客文章,但 Colley 告诉 SecurityWeek,他尚未公开任何信息,并指出他一直在与微软合作进行协调披露。研究人员认为,微软的公告称该问题已被公开披露,因为对方知道他将在本周末的 BSidesKC 会议上讨论这个问题。
此外,研究人员预计详细介绍 CVE-2022-37972 的文章仅在11月发布。但是他指出,这与7月一篇文章中描述的一个问题有关,该文章重点关注 Microsoft System Center Configuration Manager (SCCM) 客户端推送账户的攻击面。
SCCM 是 Microsoft Endpoint Configuration Manager (MECM) 的前身,它是一种适用于台式机、服务器和笔记本电脑的本地管理解决方案,允许用户部署更新、应用程序和操作系统。将所需客户端应用程序部署到端点的一种方法是客户端推送安装,它使管理员能够轻松自动地将客户端推送到新设备。
在7月的文章中,Colley 展示了在一个端点上拥有管理员权限的攻击者如何滥用客户端推送安装设计缺陷来获取所有已配置推送帐户的散列凭据。他警告说,由于其中一些帐户可能在企业中的多台机器上拥有域管理员或提升的权限,因此黑客可以利用它们进行横向移动,甚至作为破坏性勒索软件攻击的一部分。
攻击是可能的,部分原因是允许连接回退到安全性较低的 NTLM 身份验证协议的设置。
微软本周通过带外更新修补的 MECM 漏洞与 NTLM 身份验证的使用有关。研究人员解释说,在微软修复漏洞之前,可以对客户端推送帐户强制进行 NTLM 身份验证。
美国网络安全和基础设施安全局 (CISA) 已敦促管理员查看 Microsoft 的建议并应用必要的更新。
注:本文由E安全编译报道,转载请联系授权并注明来源
