Actualizado
10 de abril de 2023: Se ha actualizado la "Tercera fase de implementación" del 11 de abril de 2023 al 13 de junio de 2023 en la sección "Intervalos de actualizaciones para abordar CVE-2022-37967".
En este artículo
Resumen
Las actualizaciones de Windows del 8 de noviembre de 2022 abordan las vulnerabilidades de omisión de seguridad y elevación de privilegios con firmas de certificado de atributo de privilegios (PAC). Esta actualización de seguridad aborda vulnerabilidades de Kerberos en las que un atacante podría modificar digitalmente las firmas PAC, aumentando sus privilegios.
Para ayudar a proteger su entorno, instale esta actualización de Windows en todos los dispositivos, incluidos los controladores de dominio de Windows. Todos los controladores de dominio del dominio deben actualizarse primero antes de cambiar la actualización al modo aplicado.
Para obtener más información sobre estas vulnerabilidades, consulte CVE-2022-37967.
Tomar medidas
Para ayudar a proteger el entorno y evitar interrupciones, se recomienda realizar los pasos siguientes:
-
ACTUALIZAR los controladores de dominio de Windows con una actualización de Windows publicada el 8 de noviembre de 2022 o después.
-
MOVER los controladores de dominio de Windows al modo auditoría mediante la sección Configuración de clave del Registro.
-
MONITOR eventos archivados durante el modo de auditoría para proteger el entorno.
-
HABILITAR Modo de cumplimiento para abordar CVE-2022-37967en su entorno.
Nota: El paso 1 de la instalación de las actualizaciones publicadas el 8 de noviembre de 2022 o después de este NO solucionará los problemas de seguridad en CVE-2022-37967 para Dispositivos Windows de forma predeterminada. Para mitigar completamente el problema de seguridad de todos los dispositivos, debe pasar al modo auditoría (descrito en el paso 2) seguido del modo aplicado (descrito en el paso 4) lo antes posible en todos los controladores de dominio de Windows.
Importante A partir de julio de 2023, el modo de cumplimiento se habilitará en todos los controladores de dominio de Windows y bloqueará las conexiones vulnerables desde dispositivos no compatibles. En ese momento, no podrá deshabilitar la actualización, pero puede volver a la configuración del modo auditoría. El modo auditoría se quitará en octubre de 2023, como se describe en la secciónIntervalos de actualizaciones para solucionar la vulnerabilidad CVE-2022-37967 de Kerberos.
Intervalo de actualizaciones para solucionar CVE-2022-37967
Las actualizaciones se publicarán en fases: la fase inicial para las actualizaciones publicadas el 8 de noviembre de 2022 o después, y la fase de cumplimiento para las actualizaciones publicadas el 13 de junio de 2023 o después.
La fase de implementación inicial comienza con las actualizaciones publicadas el 8 de noviembre de 2022 y continúa con las actualizaciones posteriores de Windows hasta la Fase de cumplimiento. Esta actualización agrega firmas al búfer PAC de Kerberos, pero no comprueba las firmas durante la autenticación. Por lo tanto, el modo seguro está deshabilitado de forma predeterminada.
Esta actualización:
-
Agrega firmas PAC al búfer PAC de Kerberos.
-
Agrega medidas para solucionar la vulnerabilidad de omisión de seguridad en el protocolo Kerberos.
La segunda fase de implementación comienza con las actualizaciones publicadas el 13 de diciembre de 2022. Estas y otras actualizaciones posteriores realizan cambios en el protocolo Kerberos para auditar dispositivos Windows moviendo controladores de dominio de Windows al modo auditoría.
Con esta actualización, todos los dispositivos de forma predeterminada estarán en modo auditoría:
-
Si falta la firma o no es válida, se permite la autenticación. Además, se creará un registro de auditoría.
-
Si falta la firma, genere un evento y permita la autenticación.
-
Si la firma está presente, valídela. Si la firma es incorrecta, genere un evento y permitala autenticación.
Las actualizaciones de Windows publicadas el 13 de junio de 2023 o después harán lo siguiente:
-
Quitar la capacidad de deshabilitar la adición de firmas PAC estableciendo la subclave KrbtgtFullPacSignature en un valor de 0.
Las actualizaciones de Windows publicadas el 11 de julio de 2023 o después harán lo siguiente:
-
Quitar la capacidad de establecer el valor 1 para la subclave KrbtgtFullPacSignature.
-
Mover la actualización al modo de cumplimiento (predeterminado) (KrbtgtFullPacSignature = 3), que un Administrador puede invalidar con una configuración de auditoría explícita.
Las actualizaciones de Windows publicadas el 10 de octubre de 2023 o después harán lo siguiente:
-
Quitar la compatibilidad con la subclave del Registro KrbtgtFullPacSignature.
-
Quita la compatibilidad con el modo auditoría.
-
Se denegará la autenticación a todos los vales de servicio sin las nuevas firmas PAC.
Guías de implementación
Para implementar las actualizaciones de Windows con fecha del 8 de noviembre de 2022 o posteriores, siga estos pasos:
-
ACTUALIZAR los controladores de dominio de Windows con una actualización publicada el 8 de noviembre de 2022 o después.
-
MOVER los controladores de dominio al modo auditoría mediante la sección clave del Registro.
-
MONITORAR eventos archivados durante el modo auditoría para ayudar a proteger el entorno.
-
HABILITAR Modo de cumplimiento para solucionar CVE-2022-37967 en su entorno.
PASO 1: ACTUALIZAR
Implemente las actualizaciones del 8 de noviembre de 2022 o posteriores en todos los controladores de dominio (DC) de Windows aplicables. Después de implementar la actualización, los controladores de dominio de Windows que se hayan actualizado tendrán firmas agregadas al búfer PAC de Kerberos y no serán seguros de forma predeterminada (la firma PAC no se valida).
-
Durante la actualización, asegúrese de mantener el valor del registro KrbtgtFullPacSignature en el estado predeterminado hasta que se actualicen todos los controladores de dominio de Windows.
PASO 2: MOVER
Una vez actualizados los controladores de dominio de Windows, cambie al modo auditoría cambiando el valor KrbtgtFullPacSignature a 2.
PASO 3: BUSCAR/SUPERVISAR
Identifique las áreas a las que les faltan firmas PAC o que tengan firmas PAC que no superarán la validación a través de los registros de eventos desencadenados durante el modo auditoría.
-
Asegúrese de que el dominio nivel funcional está establecido en al menos 2008 o superior antes de pasar al modo de cumplimiento. El cambio al modo de cumplimiento con dominios en el nivel funcional del dominio 2003 puede dar lugar a errores de autenticación.
-
Los eventos de auditoría aparecerán si su dominio no está totalmente actualizado o si los vales de servicio emitidos previamente pendientes siguen existiendo en su dominio.
-
Continúe supervisando los registros de eventos adicionales archivados que indican que faltan firmas PAC o errores de validación de firmas PAC existentes.
-
Después de actualizar todo el dominio y de que todos los vales pendientes hayan expirado, los eventos de auditoría ya no deberían aparecer. A continuación, debería poder pasar al modo de cumplimiento sin errores.
PASO 4: HABILITAR
Habilite el modo de cumplimiento para solucionar CVE-2022-37967 en su entorno.
-
Una vez que se han resuelto todos los eventos de auditoría y ya no aparecen, mueva los dominios al modo de cumplimiento actualizando el valor del Registro KrbtgtFullPacSignature como se describe en la sección Valor de clave del registro.
-
Si un vale de servicio tiene una firma PAC no válida o faltan firmas PAC, se producirá un error en la validación y se registrará un evento de error.
Configuración de clave del Registro
Protocolo Kerberos
Una vez instaladas las actualizaciones de Windows con fecha del 8 de noviembre de 2022 o posterior, la siguiente clave de registro estará disponible para el protocolo Kerberos:
-
KrbtgtFullPacSignature
Esta clave del Registro se usa para validar la implementación de los cambios de Kerberos. Esta clave del Registro es temporal y ya no se leerá después de la fecha de cumplimiento completa del 10 de octubre de 2023.Clave del registro
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Valor
KrbtgtFullPacSignature
Tipo de datos
REG_DWORD
Datos
0 – Deshabilitado
1 – Se agregan nuevas firmas, pero no se comprueban. (Configuración predeterminada)
2 - Modo auditoría. Se agregan nuevas firmas y se comprueba si están presentes. Si falta la firma o no es válida, se permite la autenticación y se crean registros de auditoría.
3 - Modo de cumplimiento. Se agregan nuevas firmas y se comprueba si están presentes. Si falta la firma o no es válida, se deniega la autenticación y se crean los registros de auditoría.
¿Es necesario reiniciar ?
No
Nota Si necesita cambiar el KrbtgtFullPacSignature valor del Registro, agregue manualmente y configure la clave del Registro para invalidar el valor predeterminado.
Eventos de Windows relacionados con CVE-2022-37967
En el modo auditoría, puede encontrar cualquiera de los siguientes errores si faltan firmas PAC o no son válidas. Si este problema continúa durante el modo de cumplimiento, estos eventos se registrarán como errores.
Si encuentra algún error en el dispositivo, es probable que todos los controladores de dominio de Windows del dominio no estén actualizados con una actualización de Windows del 8 de noviembre de 2022 o posterior. Para mitigar los problemas, deberá investigar aún más el dominio para encontrar controladores de dominio de Windows que no estén actualizados.
Nota Si encuentra un error con el id. de evento 42, consulte KB5021131: Cómo administrar los cambios del protocolo Kerberos relacionados con CVE-2022-37966.
Registro de eventos |
Sistema |
Tipos de eventos |
Advertencia |
Origen del evento |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Id. de evento |
43 |
Texto del evento |
El Centro de distribución de claves (KDC) encontró un vale que no podría validar la Firma de PAC completa de Consulte https://go.microsoft.com/fwlink/?linkid=2210019 para obtener más información. Cliente: <realm>/<Nombre> |
Registro de eventos |
Sistema |
Tipo de evento |
Advertencia |
Origen del evento |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Id. de evento |
44 |
Texto del evento |
El Centro de distribución de claves (KDC) encontró un vale que no contenía la firma de PAC completa. Consulte https://go.microsoft.com/fwlink/?linkid=2210019 para obtener más información. Cliente: <realm>/<Nombre> |
Dispositivos de terceros que implementan el protocolo Kerberos
Los dominios que tienen controladores de dominio de terceros podrían ver errores en el modo de cumplimiento.
Los dominios con clientes de terceros pueden tardar más tiempo en borrarse completamente de los eventos de auditoría después de la instalación de una actualización de Windows del 8 de noviembre de 2022 o posterior.
Póngase en contacto con el fabricante del dispositivo (OEM) o el proveedor de software para determinar si su software es compatible con el cambio de protocolo más reciente.
Para obtener información sobre las actualizaciones de protocolos, consulte el tema Protocolo de Windows en el sitio web de Microsoft.
Glosario
Kerberos es un protocolo de autenticación de red de equipo que funciona de acuerdo a "vales". para permitir que los nodos que se comunican a través de una red demuestren su identidad entre sí de forma segura.
El servicio Kerberos que implementa los servicios de autenticación y concesión de vales especificados en el protocolo Kerberos. El servicio se ejecuta en equipos seleccionados por el administrador del dominio o dominio kerberos; no está presente en todos los equipos de la red. Debe tener acceso a una base de datos de cuentas para el dominio kerberos al que sirve. Los KDC están integrados en el rol decontrolador de dominio. Es un servicio de red que suministra vales a los clientes para que se autentiquen en los servicios.
El certificado de atributo de privilegios (PAC) es una estructura que transmite información relacionada con la autorización proporcionada por los controladores de dominio (DC). Para obtener más información, vea Estructura de datos del certificado de atributo de privilegios.
Un tipo especial de vale que se puede usar para obtener otros vales. El vale de concesión de vales (TGT) se obtiene después de la autenticación inicial en el intercambio del servicio de autenticación (AS). A partir de entonces, los usuarios no necesitan presentar sus credenciales, pero pueden usar el TGT para obtener vales posteriores.