Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Registro de cambios

Cambio 1: 19 de junio de 2023:

  • Se ha aclarado la frase que empieza por "Para ayudar a proteger..." en la sección "Resumen".

  • Se ha agregado más información a la Nota en la configuración de clave del Registro DefaultDomainSupportedEncTypes .

En este artículo

Resumen

Las actualizaciones de Windows publicadas el 8 de noviembre de 2022 abordan la vulnerabilidad de elevación de privilegios y la omisión de seguridad con la negociación de autenticación mediante la negociación débil rc4-HMAC.

Esta actualización establecerá AES como el tipo de cifrado predeterminado para las claves de sesión en cuentas que aún no están marcadas con un tipo de cifrado predeterminado. 

Para ayudar a proteger su entorno, instale las actualizaciones de Windows publicadas el 8 de noviembre de 2022, o después, en todos los dispositivos, incluidos los controladores de dominio. Vea cambiar 1.

Para obtener más información sobre estas vulnerabilidades, consulte CVE-2022-37966.

Detectar tipos de cifrado de claves de sesión establecidos explícitamente

Es posible que haya definido explícitamente tipos de cifrado en las cuentas de usuario vulnerables a CVE-2022-37966. Busque cuentas en las que DES/RC4 esté habilitado explícitamente, pero no AES mediante la siguiente consulta de Active Directory:

  • Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"

Configuración de clave del Registro

Una vez instaladas las actualizaciones de Windows con fecha del 8 de noviembre de 2022 o posterior, la siguiente clave de registro estará disponible para el protocolo Kerberos:

DefaultDomainSupportedEncTypes

Clave del registro

HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC

Valor

DefaultDomainSupportedEncTypes

Tipo de datos

REG_DWORD

Valor de datos

0x27 (predeterminado)

¿Es necesario reiniciar ?

No

Nota Si debe cambiar el tipo de cifrado admitido predeterminado para un usuario o equipo Active Directory, agregue manualmente y configure la clave del Registro para establecer el nuevo tipo de cifrado admitido.  Esta actualización no agrega automáticamente la clave del Registro.

Los controladores de dominio de Windows usan este valor para determinar los tipos de cifrado admitidos en las cuentas de Active Directory cuyo valor de msds-SupportedEncryptionType está vacío o no está establecido. Un equipo que ejecuta una versión compatible del sistema operativo Windows establece automáticamente el msds-SupportedEncryptionTypes para esa cuenta de máquinas en Active Directory. Esto se basa en el valor configurado de los tipos de cifrado que puede usar el protocolo Kerberos. Para obtener más información, vea Seguridad de red: Configurar los tipos de cifrado permitidos para Kerberos.

Las cuentas de usuario, las cuentas de servicio administrado de grupo y otras cuentas de Active Directory no tienen el valor msds-SupportedEncryptionTypes establecido automáticamente. 

Para buscar los tipos de cifrado admitidos que puede establecer manualmente, consulte marcas de bits de tipos de cifrado admitidos. Para obtener más información, consulte lo que debería hacer primero para ayudar a preparar el entorno y evitar problemas de Kerberos.

El valor predeterminado0x27(claves de sesión DES, RC4, AES) se eligió como el cambio mínimo necesario para esta actualización de seguridad. Se recomienda que los clientes establezcan el valor en 0x3C para aumentar la seguridad, ya que este valor permitirá tanto vales cifrados con AES como claves de sesión de AES. Si los clientes han seguido nuestras instrucciones para pasar a un entorno solo AES en el que no se usa RC4 para el protocolo Kerberos, recomendamos que establezcan el valor en 0x38. Vea cambiar 1.

Eventos de Windows relacionados con CVE-2022-37966

El Centro de distribución de claves Kerberos carece de claves seguras para la cuenta

Registro de eventos

Sistema

Tipos de eventos

Error

Origen del evento

Kdcsvc

Id. de evento 

42

Texto del evento

El Centro de distribución de claves Kerberos carece de claves seguras para la cuenta: accountname. Debe actualizar la contraseña de esta cuenta para evitar el uso de criptografía no segura. Consulte https://go.microsoft.com/fwlink/?linkid=2210019 para obtener más información.

Si encuentra este error, es probable que deba restablecer la contraseña de krbtgt antes de establecer KrbtgtFullPacSingature  = 3, o instalar las actualizaciones de Windows publicadas el 11 de julio de 2023 o después. La actualización que habilita mediante programación el modo de aplicación para CVE-2022-37967 se documenta en el siguiente artículo de la Microsoft Knowledge Base:

KB5020805: Cómo administrar los cambios de protocolo Kerberos relacionados con CVE-2022-37967

Para obtener más información sobre cómo hacerlo, consulte el tema New-KrbtgtKeys.ps1 en el sitio web de GitHub.

Preguntas más frecuentes (P+F) y problemas conocidos

Las cuentas marcadas para uso explícito de RC4 son vulnerables. Además, los entornos que no tengan claves de sesión de AES dentro de la cuenta krbgt podrían ser vulnerables. Para mitigar este problema, siga las instrucciones sobre cómo identificar vulnerabilidades y use la sección Configuración de clave del Registro para actualizar explícitamente los valores predeterminados de cifrado.

Deberá comprobar que todos los dispositivos tengan un tipo de cifrado Kerberos común.  Para obtener más información sobre los tipos de cifrado Kerberos, consulte Descifrar la selección de tipos de cifrado Kerberos admitidos.

Los entornos sin un tipo de cifrado Kerberos común podrían haber sido previamente funcionales debido a la adición automática de RC4 o bien por la adición de AES, en caso de que RC4 se deshabilitase mediante directiva de grupo por controladores de dominio. Este comportamiento ha cambiado con las actualizaciones publicadas el 8 de noviembre de 2022 o posteriormente y, ahora, seguirá estrictamente lo que se establezca en las claves del Registro, msds-SupportedEncryptionTypes y DefaultDomainSupportedEncTypes

Si la cuenta no tuviera msds-SupportedEncryptionTypes establecido, o estuviera establecida en 0, los controladores de dominio asumirán un valor predeterminado de 0x27 (39) o el controlador de dominio usará la configuración en la clave del Registro DefaultDomainSupportedEncTypes.

Si la cuenta tuviera msds-SupportedEncryptionTypes establecido, se respetará esta configuración y podría exponer un error al haber configurado un tipo de cifrado Kerberos común enmascarado por el comportamiento anterior de agregar automáticamente RC4 o AES, que ya no es el comportamiento tras instalar las actualizaciones publicadas el 8 de noviembre de 2022 o posteriormente.

Para obtener información sobre cómo comprobar que tenga un tipo de cifrado Kerberos común, consulte la pregunta ¿Cómo puedo comprobar que todos mis dispositivos tengan un tipo de cifrado Kerberos común?

Consulta la pregunta anterior para obtener más información sobre por qué es posible que los dispositivos no tengan un tipo de cifrado Kerberos común después de instalar las actualizaciones publicadas el 8 de noviembre de 2022 o posteriormente.

Si ya hubiera instalado las actualizaciones publicadas el 8 de noviembre de 2022 o posteriormente, le será posible detectar dispositivos que no tengan un tipo de cifrado Kerberos común buscando en el Registro de eventos el evento 27, Microsoft-Windows-Kerberos-Key-Distribution-Center, que identifica tipos de cifrado no conectados entre clientes Kerberos y servidores o servicios remotos.

La instalación de actualizaciones publicadas el 8 de noviembre de 2022 o posteriormente en servidores de roles que no sean controladores de dominio o de clientes no debería afectar a Kerberos en su entorno.

Para mitigar este problema conocido, abra una ventana del símbolo del sistema como administrador y use temporalmente el siguiente comando para establecer la clave del Registro KrbtgtFullPacSignature en 0:

  • reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
    

Nota Una vez resuelto este problema conocido, deberá establecer KrbtgtFullPacSignature en una configuración más alta en función de lo que permita el entorno. Se recomienda habilitar el modo de cumplimiento tan pronto como el entorno esté listo.

Pasos siguientes Estamos buscando una resolución y proporcionaremos una actualización en una próxima versión.

Después de instalar las actualizaciones publicadas el 8 de noviembre de 2022 o posteriormente en los controladores de dominio, todos los dispositivos deberán admitir la firma de vales AES, según sea necesario para cumplir con la protección de seguridad necesaria para CVE-2022-37967.

Pasos siguientes Si ya estuviera ejecutando el software y el firmware más actualizados para los dispositivos que no sean Windows y hubiera comprobado que haya un tipo de cifrado común disponible entre los controladores de dominio de Windows y los dispositivos que no sean Windows, deberá ponerse en contacto con el fabricante del dispositivo (OEM) para obtener ayuda o reemplazar los dispositivos por otros compatibles. 

IMPORTANTE No se recomienda usar ninguna solución alternativa para permitir que los dispositivos no compatibles se autentiquen, ya que esto puede hacer que el entorno sea vulnerable.

Las versiones no compatibles de Windows incluyen Windows XP, Windows Server 2003, Windows Server 2008 SP2 y Windows Server 2008 R2 SP1, a las cuales no se puede acceder mediante dispositivos Windows actualizados a menos que tenga una licencia de ESU. Si tiene una licencia de ESU, tendrá que instalar las actualizaciones publicadas el 8 de noviembre de 2022 o posteriormente y comprobar que la configuración tenga un tipo de cifrado común disponible entre todos los dispositivos.

Pasos siguientes Instale las actualizaciones, si estuvieran disponibles para su versión de Windows y dispone de la licencia de ESU aplicable. Si las actualizaciones no estuvieran disponibles, tendrá que actualizar a una versión compatible de Windows o mover cualquier aplicación o servicio a un dispositivo compatible.

IMPORTANTE No se recomienda usar ninguna solución alternativa para permitir que los dispositivos no compatibles se autentiquen, ya que esto puede hacer que el entorno sea vulnerable.

Este problema conocido se resolvió en actualizaciones fuera de banda publicadas el 17 de noviembre de 2022 y el 18 de noviembre de 2022 para la instalación en todos los controladores de dominio de su entorno. No es necesario instalar ninguna actualización ni realizar cambios en otros servidores o dispositivos cliente de su entorno para resolver este problema. Si ha utilizado alguna solución o mitigación para este problema, ya no es necesaria y le recomendamos que la elimine.

Para obtener el paquete independiente de estas actualizaciones fuera de banda, busque el número de KB en el Catálogo de Microsoft Update. Puede importar manualmente estas actualizaciones en Windows Server Update Services (WSUS) y Microsoft Endpoint Configuration Manager. Para obtener instrucciones de WSUS, consulte WSUS y el sitio del catálogo. Para obtener instrucciones sobre Configuration Manager, consulte Importar actualizaciones del catálogo de Microsoft Update

Nota Las siguientes actualizaciones no están disponibles en Windows Update y no se instalarán de manera automática.

Actualizaciones acumulativas:

Nota No es necesario aplicar ninguna actualización anterior antes de instalar estas actualizaciones acumulativas. Si ya ha instalado las actualizaciones publicadas el 8 de noviembre de 2022, no es necesario desinstalar las actualizaciones afectadas antes de instalar las actualizaciones posteriores, incluidas las actualizaciones enumeradas anteriormente.

Actualizaciones independientes:

Notas 

  • Si usa las actualizaciones solo de seguridad para estas versiones de Windows Server, solo tendrá que instalar estas actualizaciones independientes para el mes de noviembre de 2022. Las actualizaciones de solo seguridad no son acumulativas, por lo que también deberá instalar todas las actualizaciones de solo seguridad anteriores para estar completamente al día. Las actualizaciones mensuales son acumulativas e incluyen la seguridad y todas las actualizaciones de calidad.

  • Si usa las actualizaciones mensuales acumulativas, deberá instalar tanto las actualizaciones independientes indicadas anteriormente para resolver este problema, como instalar las acumulativas mensuales publicadas el 8 de noviembre de 2022 para recibir las actualizaciones de calidad de noviembre de 2022. Si ya ha instalado las actualizaciones publicadas el 8 de noviembre de 2022, no es necesario desinstalar las actualizaciones afectadas antes de instalar las actualizaciones posteriores, incluidas las actualizaciones enumeradas anteriormente.

Si ha comprobado la configuración de su entorno y sigue teniendo problemas con cualquier implementación de Kerberos que no sea de Microsoft, necesitará actualizaciones o soporte técnico del desarrollador o fabricante de la aplicación o dispositivo.

Este problema conocido se podría mitigar mediante una de las siguientes acciones:

  • Establecer msds-SupportedEncryptionTypes con bit a bit o establecerlo en el 0x27 predeterminado actual para conservar su valor actual. Por ejemplo:

    • Msds-SuportedEncryptionTypes -bor 0x27
  • Establecer msds-SupportEncryptionTypes en 0 para permitir que los controladores de dominio usen el valor predeterminado de 0x27.

Pasos siguientes Estamos buscando una resolución y proporcionaremos una actualización en una próxima versión.

Glosario

Estándar de cifrado avanzado (AES) es un cifrado de bloques que reemplaza al Estándar de cifrado de datos (DES). AES se puede usar para proteger los datos electrónicos. El algoritmo AES se puede usar para cifrar (cifrar) y descifrar (descifrar) la información. El cifrado convierte los datos en una forma ininteligible denominada texto cifrado; descifrar el texto cifrado convierte los datos en su forma original, denominada texto sin formato. AES se usa en criptografía de clave simétrica, lo que significa que se usa la misma clave para las operaciones de cifrado y descifrado. También es un cifrado de bloques, lo que significa que funciona en bloques de tamaño fijo de texto no cifrado y texto cifrado, y requiere que el tamaño del texto no cifrado, así como el texto cifrado sea un múltiplo exacto de este tamaño de bloque. AES también se conoce como el algoritmo de cifrado simétrico Rijndael[FIPS197].

Kerberos es un protocolo de autenticación de red de equipo que funciona de acuerdo a "vales". para permitir que los nodos que se comunican a través de una red demuestren su identidad entre sí de forma segura.

El servicio Kerberos que implementa los servicios de autenticación y concesión de vales especificados en el protocolo Kerberos. El servicio se ejecuta en equipos seleccionados por el administrador del dominio o dominio kerberos; no está presente en todos los equipos de la red. Debe tener acceso a una base de datos de cuentas para el dominio kerberos al que sirve. Los KDC están integrados en el rol decontrolador de dominio. Es un servicio de red que suministra vales a los clientes para que se autentiquen en los servicios.

RC4-HMAC (RC4) es un algoritmo de cifrado simétrico de longitud variable de clave. Para obtener más información, consulte [SCHNEIER]sección 17.1.

Una clave simétrica de relativamente corta duración (una clave criptográfica negociada por el cliente y el servidor en función de un secreto compartido). La duración de una clave de sesión está limitada por la sesión a la que está asociada. Una clave de sesión tiene que ser lo suficientemente fuerte como para resistir el criptoanálisis durante la duración.

Un tipo especial de vale que se puede usar para obtener otros vales. El vale de concesión de vales (TGT) se obtiene después de la autenticación inicial en el intercambio del servicio de autenticación (AS). A partir de entonces, los usuarios no necesitan presentar sus credenciales, pero pueden usar el TGT para obtener vales posteriores.

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.