Vulnerabilidad de Spoofing en Microsoft Endpoint Configuration Manager

INTRODUCCIÓN

Vulnerabilidad de spoofing en Microsoft Endpoint Configuration Manager descubierta por el investigador Brandon Colley, en colaboración con Trimarc Security con una puntuación CVSS de 7.5 puntos.

ANÁLISIS

El investigador, Brandon Colley, en colaboración con Trimarc Security, ha descubierto una vulnerabilidad crítica en Microsoft Endpoint Configuration Manager. Ha sido publicada en un aviso fuera de ciclo por parte del fabricante. Un atacante podría aprovechar esta vulnerabilidad para suplantar la identidad de un trabajador y obtener información sensible.

La vulnerabilidad se encuentra aun bajo análisis.

Versiones afectadas:
Microsoft Endpoint Configuration Manager versiones 2103, 2107, 2111, 2203 y 2207.

RECOMENDACIONES:

Instalar el hotfix KB15498768. Esta actualización impide cualquier intento de autenticación NTLM para la instalación push del cliente cuando la opción "Permitir reserva de conexión a NTLM" está desactivada.

  La deshabilitación de la opción "Permitir reserva de conexión a NTLM" en "Propiedades de instalación de inserción de cliente" no se respeta cuando:

Hay errores de autenticación en Kerberos, la cuenta de inserción de cliente intentará una conexión NTLM en su lugar.

La cuenta de equipo del servidor intentará una conexión mediante NTLM si se produce un error en la autenticación de Kerberos para todas las cuentas de instalación de inserción de cliente definidas.

Los administradores también pueden deshabilitar el uso de los métodos de instalación push automática y manual del cliente para eliminar el riesgo de exposición a esta vulnerabilidad.

REFERENCIAS:

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-spoofing-microsoft-endpoint-configuration-manager
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37972
https://nvd.nist.gov/vuln/detail/CVE-2022-37972