-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### ######################## UPDATE 1.01 ############################# Titel : Kwetsbaarheden verholpen in Microsoft Windows Advisory ID : NCSC-2022-0342 Versie : 1.01 Kans : medium CVE ID : CVE-2022-21972, CVE-2022-22011, CVE-2022-22012, CVE-2022-22013, CVE-2022-22014, CVE-2022-22015, CVE-2022-22016, CVE-2022-22017, CVE-2022-22019, CVE-2022-22713, CVE-2022-23270, CVE-2022-23279, CVE-2022-24466, CVE-2022-26913, CVE-2022-26923, CVE-2022-26925, CVE-2022-26926, CVE-2022-26927, CVE-2022-26930, CVE-2022-26931, CVE-2022-26932, CVE-2022-26933, CVE-2022-26934, CVE-2022-26935, CVE-2022-26936, CVE-2022-26937, CVE-2022-26938, CVE-2022-26939, CVE-2022-26940, CVE-2022-29102, CVE-2022-29103, CVE-2022-29104, CVE-2022-29105, CVE-2022-29106, CVE-2022-29112, CVE-2022-29113, CVE-2022-29114, CVE-2022-29115, CVE-2022-29116, CVE-2022-29120, CVE-2022-29121, CVE-2022-29122, CVE-2022-29123, CVE-2022-29125, CVE-2022-29126, CVE-2022-29127, CVE-2022-29128, CVE-2022-29129, CVE-2022-29130, CVE-2022-29131, CVE-2022-29132, CVE-2022-29133, CVE-2022-29134, CVE-2022-29135, CVE-2022-29137, CVE-2022-29138, CVE-2022-29139, CVE-2022-29140, CVE-2022-29141, CVE-2022-29142, CVE-2022-29150, CVE-2022-29151 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : high Denial-of-Service (DoS) Omzeilen van authenticatie (Remote) code execution (Administrator/Root rechten) (Remote) code execution (Gebruikersrechten) Spoofing Toegang tot gevoelige gegevens Toegang tot systeemgegevens Verhoogde gebruikersrechten Uitgiftedatum : 20220520 Toepassing : Microsoft Active Directory Versie(s) : Platform(s) : Microsoft Windows 7 Microsoft Windows 8 Microsoft Windows 10 Microsoft Windows 11 Microsoft Windows Server 2012 Microsoft Windows Server 2016 Microsoft Windows Server 2019 Update Microsoft heeft een out-of-band update uitgebracht voor domain-controllers om authenticatie problemen te verhelpen die in sommige gevallen zijn waargenomen na het toepassen van de updates van 10 mei. Beschrijving Microsoft heeft meerdere kwetsbaarheden verholpen in Windows. De kwetsbaarheden stellen een kwaadwillende mogelijk in staat aanvallen uit te voeren die leiden tot de volgende categorieën schade: * Denial-of-Service (DoS) * Omzeilen van authenticatie * (Remote) code execution (Administrator/SYSTEM rechten) * (Remote) code execution (Gebruikersrechten) * Spoofing * Toegang tot gevoelige gegevens * Toegang tot systeemgegevens * Verhoogde gebruikersrechten Vanwege de reeds actief-misbruikte kwetsbaarheid CVE-2022-26925 raadt Microsoft aan om bij het toepassen van deze updates Active Directory Domain Controllers prioriteit te geven. Om deze kwetsbaarheid te misbruiken dient de aanvaller reeds een Man-In-The-Middle (MITM) positie hebben verworven. De aanvaller zou door misbruik van deze kwetsbaarheid authenticatie kunnen omzeilen door een kwetsbaar systeem te manipuleren. Microsoft heeft aanvullende informatie alsmede mitigerende maatregelen gepubliceerd. Zie: https://msrc.microsoft.com/update-guide/vulnerability/ADV210003 De kwetsbaarheid met CVE-kenmerk CVE-2022-26937 (CVSSv3 9.8) bevindt zich in het Windows Network File System en kan alleen misbruikt worden wanneer het systeem is geconfigureerd met de NFS role. Microsoft geeft aan dat deze kwetsbaarheid niet te misbruiken is wanneer men gebruik maakt van NFSv4.1. Wanneer men gebruik maakt van NFSv2 of NFSv3 zijn er maatregelen beschikbaar gesteld om deze versies uit te schakelen. Wanneer Active Directory Certificate Services actief is, is deze mogelijk kwetsbaar voor CVE-2022-26923 (CVSSv3 8.8). Een kwaadwillende kan deze kwetsbaarheid mogelijk misbruiken om een willekeurig certificaat te laten uitgeven. Middels dit certificaat kan de kwaadwillende binnen het domein verhoogde rechten verwerven. De kwetsbaarheden met CVE-kenmerken CVE-2022-22012 en CVE-2022-29130 (beiden (CVSSv3 9.8) bevinden zich in de Windows LDAP implementatie. Waneer de MaxReceiveBuffer-waarde in een policy is verhoogd kan een kwaadwillende de kwetsbaarheden mogelijk misbruiken voor het uitvoeren van code met SYSTEM-rechten. De default policy is niet kwetsbaar. Aanvullende informatie over de LDAP policies is beschikaar op: https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts /3f0137a1-63df-400c-bf97-e1040f055a99 Om de kwetsbaarheid met CVE-kenmerk CVE-2022-26927 (CVSSv3 8.8) te misbruiken, dient een kwaadwillende de gebruiker te verleiden een malafide document te openen of webpagina te bezoeken. Op dat moment kan misbruik van de kwetsbaarheid leiden tot het uitvoeren van willekeurige code onder de rechten van de gebruiker. Indien een VPN-server is opgezet middels Windows Remote Access Services (RAS), is dit systeem mogelijk kwetsbaar voor CVE-2022-21972 en CVE-2022-23270 (beiden CVSSv3 8.1). Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheid misbruiken voor het uitvoeren van willekeurige code. Omdat dit een VPN-server betreft zal deze doorgaans via het publieke internet te benaderen zijn. De Remote Access-role is niet standaard ingeschakeld. In onderstaande tabellen is een overzicht te vinden van de kwetsbaarheden die door Microsoft zijn verholpen met de bijbehorende CVSSv3-score. Microsoft Windows ALPC: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-23279 | 7,00 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Windows Failover Cluster Automation Server: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-29102 | 5,50 | Toegang tot gevoelige gegevens | |----------------|------|-------------------------------------| Windows WLAN Auto Config Service: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-26935 | 6,50 | Toegang tot gevoelige gegevens | | CVE-2022-29121 | 6,50 | Denial-of-Service | |----------------|------|-------------------------------------| Windows Remote Desktop: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-22015 | 6,50 | Toegang tot gevoelige gegevens | |----------------|------|-------------------------------------| Windows Network File System: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-26937 | 9,80 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Windows Active Directory: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-26923 | 8,80 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Windows Cluster Shared Volume (CSV): |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-29134 | 6,50 | Toegang tot gevoelige gegevens | | CVE-2022-29135 | 7,00 | Verkrijgen van verhoogde rechten | | CVE-2022-29138 | 7,00 | Verkrijgen van verhoogde rechten | | CVE-2022-29120 | 6,50 | Toegang tot gevoelige gegevens | | CVE-2022-29122 | 6,50 | Toegang tot gevoelige gegevens | | CVE-2022-29123 | 6,50 | Toegang tot gevoelige gegevens | | CVE-2022-29150 | 7,00 | Verkrijgen van verhoogde rechten | | CVE-2022-29151 | 7,00 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Tablet Windows User Interface: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-29126 | 7,00 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Windows Remote Access Connection Manager: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-26930 | 5,50 | Toegang tot gevoelige gegevens | | CVE-2022-29103 | 7,80 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Remote Desktop Client: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-26940 | 6,50 | Toegang tot gevoelige gegevens | | CVE-2022-22017 | 8,80 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Windows Address Book: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-26926 | 7,80 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Windows Print Spooler Components: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-29104 | 7,80 | Verkrijgen van verhoogde rechten | | CVE-2022-29114 | 5,50 | Toegang tot gevoelige gegevens | | CVE-2022-29132 | 7,80 | Verkrijgen van verhoogde rechten | | CVE-2022-29140 | 5,50 | Toegang tot gevoelige gegevens | |----------------|------|-------------------------------------| Windows Remote Procedure Call Runtime: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-22019 | 8,80 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Microsoft Graphics Component: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-26927 | 8,80 | Uitvoeren van willekeurige code | | CVE-2022-26934 | 6,50 | Toegang tot gevoelige gegevens | | CVE-2022-22011 | 5,50 | Toegang tot gevoelige gegevens | | CVE-2022-29112 | 6,50 | Toegang tot gevoelige gegevens | |----------------|------|-------------------------------------| Windows Kerberos: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-26931 | 7,50 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Windows Point-to-Point Tunneling Protocol: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-21972 | 8,10 | Uitvoeren van willekeurige code | | CVE-2022-23270 | 8,10 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Windows Authentication Methods: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-26913 | 7,40 | Omzeilen van beveiligingsmaatregel | |----------------|------|-------------------------------------| Microsoft Local Security Authority Server (lsasrv): |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-26925 | 8,10 | Voordoen als andere gebruiker | |----------------|------|-------------------------------------| Windows NTFS: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-26933 | 5,50 | Toegang tot gevoelige gegevens | |----------------|------|-------------------------------------| Role: Windows Hyper-V: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-22713 | 5,60 | Denial-of-Service | | CVE-2022-24466 | 4,10 | Omzeilen van beveiligingsmaatregel | | CVE-2022-29106 | 7,00 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Windows Kernel: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-29133 | 8,80 | Verkrijgen van verhoogde rechten | | CVE-2022-29142 | 7,00 | Verkrijgen van verhoogde rechten | | CVE-2022-29116 | 4,70 | Toegang tot gevoelige gegevens | |----------------|------|-------------------------------------| Windows Server Service: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-26936 | 6,50 | Toegang tot gevoelige gegevens | |----------------|------|-------------------------------------| Windows Media: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-22016 | 7,00 | Verkrijgen van verhoogde rechten | | CVE-2022-29105 | 7,80 | Uitvoeren van willekeurige code | | CVE-2022-29113 | 7,80 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Windows Push Notifications: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-29125 | 7,00 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Role: Windows Fax Service: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-29115 | 7,80 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Windows BitLocker: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-29127 | 4,20 | Omzeilen van beveiligingsmaatregel | |----------------|------|-------------------------------------| Windows LDAP - Lightweight Directory Access Protocol: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-22012 | 9,80 | Uitvoeren van willekeurige code | | CVE-2022-22013 | 8,80 | Uitvoeren van willekeurige code | | CVE-2022-22014 | 8,80 | Uitvoeren van willekeurige code | | CVE-2022-29128 | 8,80 | Uitvoeren van willekeurige code | | CVE-2022-29129 | 8,80 | Uitvoeren van willekeurige code | | CVE-2022-29130 | 9,80 | Uitvoeren van willekeurige code | | CVE-2022-29131 | 8,80 | Uitvoeren van willekeurige code | | CVE-2022-29137 | 8,80 | Uitvoeren van willekeurige code | | CVE-2022-29139 | 8,80 | Uitvoeren van willekeurige code | | CVE-2022-29141 | 8,80 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Windows Storage Spaces Controller: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2022-26932 | 8,20 | Verkrijgen van verhoogde rechten | | CVE-2022-26938 | 7,00 | Verkrijgen van verhoogde rechten | | CVE-2022-26939 | 7,00 | Verkrijgen van verhoogde rechten | |----------------|------|-------------------------------------| Mogelijke oplossingen Microsoft heeft updates beschikbaar gesteld waarmee de beschreven kwetsbaarheden worden verholpen. We raden u aan om deze updates te installeren. Meer informatie over de kwetsbaarheden, de installatie van de updates en eventuele work-arounds vindt u op: https://portal.msrc.microsoft.com/en-us/security-guidance Aanvullend op bovenstaande informatie heeft Microsoft op 19 mei een out-of-band update uitgebracht waarmee authenticatie problemen die in sommige situaties zijn waargenomen, verholpen worden. Voor meer informatie zie ondestaande pagina: https://docs.microsoft.com/en-us/windows/release-health /status-windows-11-21h2#you-might-see-authentication-failures-on- the-server-or-client-for-services Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) - not licensed for commercial use: www.pgp.com Charset: utf-8 wsDVAwUBYodfPBypWqw/ZiuAAQqpUwwAt2jCBN+CgUNB5yGBzuYO40yWYsd8KGRx 28uu6pdhS+wbBDgHD2QKUXe7eUkah3N5goToq3H7Uu4QzK3NtWjorPO1TV/4Y2tR DWj/wc6g6zun+ZnclSM8MmhYz/8bSDWHaILYwLbFK52FALyytumazM1uNQaXdyrG pFTzZgYdt5RGTxvGr6XuMdMywzfKHgamxRiyRlYAZ4PMF8LxEBdgOMIwaYIfp3+x 1FB/DX7mdIICKORXoyr39P8pX48OEJKq1Hedf2XvBDbrdUpFgqtE3nXoF/3iBcbe /ZxRAt5D1ItkZF70Mop0uBcfYIQ3AYX10yqiylAWl38RyEc39Hu9eZqmm34Gevzz RxRhssrJqlsNz8SM4oNsxViq+RcHLQ3OvHkorN+TZEAViAkSFZ+abhvcyEZs7h3b DgjwMehwwfYvgr8VzAjkFyZVRiZedL1Iikvrn0r56AfhHyKgeRIMnb34IUdYwA2w 8hH2DkKvwHctWAdTHwvoaDdGSDLb9RGt =6Auj -----END PGP SIGNATURE-----