Vulnerabilidad de spoofing en Microsoft Endpoint Configuration Manager
INCIBE-2022-0933
Microsoft Endpoint Configuration Manager, versiones:
- 2103,
- 2107,
- 2111,
- 2203,
- 2207.
El investigador, Brandon Colley, en colaboración con Trimarc Security, ha descubierto una vulnerabilidad de severidad alta en Microsoft Endpoint Configuration Manager, que ha sido publicada en un aviso fuera de ciclo por parte del fabricante. Un atacante podría aprovechar esta vulnerabilidad para obtener información sensible.
Instalar el hotfix KB15498768. Esta actualización impide cualquier intento de autenticación NTLM para la instalación push del cliente cuando la opción 'Permitir reserva de conexión a NTLM' está desactivada.
Los administradores también pueden deshabilitar el uso de los métodos de instalación push automática y manual del cliente para eliminar el riesgo de exposición a esta vulnerabilidad.
La deshabilitación de la opción 'Permitir reserva de conexión a NTLM' en 'Propiedades de instalación de inserción de cliente' no se respeta en ninguna de las siguientes condiciones:
- Si hay errores de autenticación en Kerberos, la cuenta de inserción de cliente intentará una conexión NTLM en su lugar.
- La cuenta de equipo del servidor intentará una conexión mediante NTLM si se produce un error en la autenticación de Kerberos para todas las cuentas de instalación de inserción de cliente definidas.
Se ha asignado el identificador CVE-2022-37972 para esta vulnerabilidad.
