Out-of-band patch fra Microsoft

Løser problemer med den senest Windows-opdatering.

Microsoft har udsendt en out-of-band patch for at håndtere problemer, der opstod efter seneste Windows-opdatering. En opdatering der har forårsaget problemer med Kerberos-godkendelse. Det skriver Security Affairs.

Problemet – en sårbarhed vedr. eskalering af privilegier – påvirker Windows Server. Den har id’et CVE-2022-37966 og en score på 8,1. Udfordringen ligger i, at en uautoriseret angriber kan afvikle et angreb ved at udnytte kryptografiske protokolsårbarheder i Kerberos og MS-PAC (Privilege Attribute Certificate Data Structure specification) med henblik på at omgå sikkerhedsfunktioner i et Windows AD-miljø.

Angiveligt var det reaktioner fra brugerne, der har ført til den ekstra opdatering fra Microsoft.

Anbefalingen lyder, at brugere der ikke har installeret sikkerhedsopdateringerne fra Patch Tuesday den 8. november i stedet skal installere de seneste opdateringer. Kunder, der allerede har installeret Windows-sikkerhedsopdateringerne fra 8. november 2022, og som oplever problemer, bør installere de seneste opdateringer.

Microsoft er ikke bekendt med aktuelle angreb, der udnytter CVE-2022-37966.

Links:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37966

https://securityaffairs.co/wordpress/138869/security/out-of-band-fix-kerberos-issues.html