KONGGRES.COM – CISA telah kembali menambahkan sebuah bug keamanan yang berdampak ke perangkat Windows dalam daftar bug yang telah dieksploitasi di luar sana, setelah sebelumnya mereka menghapus bug ini dari daftar pada bulan Mei karena disebabkan masalah sertifikasi otentikasi Azure Active Directory oleh Microsoft pada pembaruan bulan Mei 2022.
Kerentanan ini secara aktif sedang dieksploitasi, dan Windows Local Security Authority (LSA) melacak kerentanan ini sebagai CVE-2022-26925 dan mengkonfirmasi bahwa kerentanan ini adalah vektor serangan baru PetitPotam Windows NTLM Relay.
Para penyerang yang tidak diautentikasi bisa mengeksploitasi bug ini untuk memaksa pengendali domain mengautentikasi mereka dari jarak jauh melalui protokol keamanan Windows NT LAN Manager (NTLM) dan kemungkinan, mengambil alih seluruh domain Windows.
PetitPotam ditemukan oleh peneliti keamanan Gilles Lionel pada bulan Juli 2021 silam, dengan Microsoft mencoba memblokir variasi baru yang telah digali sejak saat itu.
Namun pada titik ini, terlepas dari segala upaya yang dicoba Microsoft, mitigasi resmi dan pembaruan keamanan yang dikeluarkan selanjutnya masih belum sepenuhnya memblokir semua vektor PetitPotam.
Untuk menempatkan seberapa besar tingkat keparahan ini, beberapa pelaku kejahatan siber telah mengeksploitasi bug ini di luar sana. Di antara mereka, afiliasi ransomware LockFile telah mengkompromikan domain Windows dalam serangan relay PetitPotam NTLM untuk menyebarkan muatan berbahaya.
Seperti yang telah diperingatkan oleh CISA ketika menghapus CVE-2022-26925 dari Known Exploited Vulnerability Catalog mereka, pembaruan keamanan Patch Tuesday bulan Mei 2022 yang menambal bug ini juga memicu masalah otentikasi layanan ketika diterapkan ke pengendali domain Windows Server.
