PetitPotamの新しいベクトル

PetitPotamはセキュリティ研究者が公表したNTLMリレー攻撃を実行する手法の名称です。
この手法が実施可能であることを示す概念実証コードも公表されています。
これは2021年に話題となったもので、広い範囲のシステムを危険にさらす内容のものでした。
2021年当時、実際にこの手法を悪用した脅威の活動がいくつも観測されていました。
このPetitPotamを抑止するための完全なパッチは提供されておらず、いくつかの部分的なパッチと緩和策が案内されているにとどまっています。

そんなPetitPotamに新しいベクトルが観測されています。
認証されていない攻撃者は、LSARPCインターフェイスのメソッドを呼び出し、ドメインコントローラにNTLMを使用して攻撃者を認証するように強制する可能性があります。

この問題はCVE-2022-26925として対策が提供されています。
このCVE-2022-26925に対応するパッチはすでに提供されていますので、速やかな適用が必要です。
適用すべき範囲はWindows7およびWindowsServer2008からWindows11およびWindows2022まで、クライアントおよびサーバープラットフォームを含むすべてのWindowsバージョンです。
内容からしますと、ドメインコントローラーへの適用をより優先して実施する必要がありそうです。

ただし適用に際しては注意も必要です。
適用対象の環境がWindows Server 2008 SP2の場合、CVE-2022-26925に対応するパッチの適用によって、バックアップソフトウェアがよく利用しているAPIが機能しなくなります。
Windows Server 2008 SP2にパッチを適用する際にはステージング環境での動作の確認が必要かもしれません。
面倒に感じますが、だからといって適用を見送ることも危険が大きいと考えられます。

この脅威が成り立つためには中間者攻撃の実施が必要です。
ですのでこの脅威は単体では脅威として成り立たないと言えそうです。
ですが、大きなシステム全体を完全な安全状態に保つことは容易ではありません。
このパッチもしっかりと全体に適用しておこうと思います。

参考記事（外部リンク）：Windows LSA Spoofing Vulnerability CVE-2022-26925
msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-26925