美国网络安全和基础设施安全局 (CISA) 已从其已知已利用漏洞目录中删除了一个 Windows 安全漏洞，该漏洞是由于 2022 年 5 月修补它的更新导致的 Active Directory (AD) 身份验证问题。

这个安全漏洞是一个 被积极利用的 Windows LSA 欺骗零日 漏洞，被跟踪为 CVE-2022-26925，被确认为 新的 PetitPotam Windows NTLM 中继攻击向量。

未经身份验证的攻击者滥用 CVE-2022-26925 来强制域控制器通过 Windows NT LAN Manager (NTLM) 安全协议对其进行远程身份验证，并且很可能获得对整个 Windows 域的控制权。

2022年5月的安全更新和 AD 身份验证问题
作为 2022 年 5 月补丁星期二发布的安全补丁的一部分，微软将其与 74 个其他安全漏洞（其中两个也是零日漏洞）一起修补。

但是，针对 Windows Kerberos 和 Active Directory 域服务中的两个特权提升漏洞（跟踪为 CVE-2022-26931 和 CVE-2022-26923）的补丁部署在 Windows Server 域控制器上时也会导致 服务身份验证问题。

根据 2022 年 6 月 1 日之前发布的BOD 22-01 具有约束力的操作指令，在从其已知利用漏洞目录中删除之前，所有联邦民事行政部门机构 (FCEB) 机构都必须在三周内应用安全更新 。 2021 年 11 月。

由于微软不再为其在星期二补丁中解决的每个安全问题提供单独的安装程序，因此安装本月的安全更新也将触发 AD 身份验证问题，因为管理员不能选择仅安装一个安全更新（即要解决的安全更新）新的 PetitPotam 攻击向量）。

正如 CISA 指出的那样，“在客户端 Windows 设备和非域控制器 Windows 服务器上安装 2022 年 5 月 10 日发布的更新不会导致此问题，仍然强烈鼓励。”

“此问题仅影响 2022 年 5 月 10 日安装在用作域控制器的服务器上的更新。组织应继续将更新应用于客户端 Windows 设备和非域控制器 Windows 服务器，”网络安全机构 补充说。

可用于身份验证问题的解决方法
在 Microsoft 发布官方更新以解决安装本月安全更新引起的 AD 身份验证问题之前，该公司建议 手动将证书映射 到 Active Directory 中的计算机帐户。

“如果首选缓解措施在您的环境中不起作用，请参阅 ' KB5014754 — Windows 域控制器上基于证书的身份验证更改'，了解 SChannel 注册表项 部分中其他可能的缓解措施，”该公司 表示。

“除首选缓解之外的任何其他缓解都可能降低或禁用安全强化。”

但是，Windows 管理员与 BleepingComputer 共享了其他方法来恢复受此已知问题影响的用户的身份验证。

其中一位说，在安装 2022 年 5 月的 Windows 更新后，他们可以让一些人登录的唯一方法是通过将 StrongCertificateBindingEnforcement 密钥设置为 0 来禁用它。

如果您的系统上的注册表中不可用，您可以使用 REG_DWORD 数据类型从头开始创建它并将其设置为 0 以禁用强证书映射检查（即使 Microsoft 不推荐，这是允许所有用户的唯一方法在某些环境中登录）。