Ažurirano
10. travnja 2023.: ažurirana je faza "Treće implementacije" s 11. travnja 2023. na 13. lipnja 2023. u odjeljku "Tempiranje ažuriranja za adresu CVE-2022-37967".
U ovom članku
Sažetak
Ažuriranja sustava Windows od 8. studenoga 2022. rješavaju sigurnosne zaobilaženje i povećanje ovlasti slabih točaka s potpisima certifikata privilege atributa (PAC). Ovo sigurnosno ažuriranje rješava slabe točke Kerberos gdje napadač može digitalno mijenjati PAC potpise, podižući njihove privilegije.
Da biste zaštitili svoje okruženje, instalirajte ovo ažuriranje sustava Windows na sve uređaje, uključujući domenski kontroleri sustava Windows. Prije prebacivanja ažuriranja na nametnuti način rada najprije se moraju ažurirati svi domenski kontroleri u vašoj domeni.
Dodatne informacije o tim slabim točkama potražite u članku CVE-2022-37967.
Akcija
Da biste zaštitili svoje okruženje i spriječili prekida rada, preporučujemo da učinite sljedeće:
-
Ažurirajte domenski kontroler sustava Windows ažuriranjem sustava Windows izdanim 8. studenog 2022. ili kasnije.
-
Premjestite domenski kontroler sustava Windows u način nadzora pomoću odjeljka postavki ključa registra.
-
PRATITE događaje koji su spremljeni tijekom načina rada nadzora da biste zaštitili svoje okruženje.
-
OMOGUĆITINačin provođenja za adresu CVE-2022-37967 u vašem okruženju.
Napomena Prvi korak instalacije ažuriranja objavljenih 8. studenog 2022. ili kasnije NEĆE rješavati sigurnosne probleme u cve-2022-37967 za uređaje sa sustavom Windows po zadanom. Da biste u potpunosti ublažili sigurnosni problem za sve uređaje, morate prijeći u način nadzora (opisan u 2. koraku), a zatim nametnuti način rada (opisan u 4. koraku) što je prije moguće na svim kontrolorima domene sustava Windows.
Važno Od srpnja 2023. način provođenja omogućit će se na svim domenski kontrolerima sustava Windows i blokirat će ranjive veze s uređaja koji nisu usklađeni. U to vrijeme nećete moći onemogućiti ažuriranje, ali se možete vratiti na postavku način rada nadzora. Nadzorni način rada uklonit će se u listopadu 2023., kao što je navedeno u odjeljku Tempiranje ažuriranja za rješavanje ranjivosti Kerberos CVE-2022-37967 .
Vrijeme ažuriranja adrese CVE-2022-37967
Ažuriranja će se objaviti u fazama: početna faza za ažuriranja objavljena 8. studenog 2022. ili nakon te faze provedbe za ažuriranja objavljena 13. lipnja 2023. ili kasnije.
Početna faza implementacije započinje ažuriranjima objavljenima 8. studenog 2022. i nastavlja se s kasnijim ažuriranjima sustava Windows do faze provedbe. Ovo ažuriranje dodaje potpise u međuspremnik Kerberos PAC, ali ne provjerava ima li potpisa tijekom provjere autentičnosti. Stoga je sigurni način rada onemogućen prema zadanim postavkama.
Ovo ažuriranje:
-
Dodaje PAC potpise u međuspremnik Kerberos PAC.
-
Dodaje mjere za rješavanje ranjivosti sigurnosnog zaobilaženje u protokolu Kerberos.
Druga faza implementacije započinje ažuriranjima objavljenima 13. prosinca 2022. Ta i novija ažuriranja mijenjaju protokol Kerberos radi nadzora uređaja sa sustavom Windows premještanjem domenskog kontrolera sustava Windows u nadzorni način rada.
Uz ovo ažuriranje svi će uređaji prema zadanim postavkama biti u načinu rada nadzora:
-
Ako potpis nedostaje ili nije valjan, dopuštena je provjera autentičnosti. Osim toga, stvorit će se zapisnik nadzora.
-
Ako potpis nedostaje, podignite događaj i dopustite provjeru autentičnosti.
-
Ako je potpis prisutan, provjerite valjanost. Ako potpis nije točan, podignite događaj i dopustite provjeru autentičnosti.
Ažuriranja sustava Windows objavljena 13. lipnja 2023. ili kasnije učinite sljedeće:
-
Uklonite mogućnost onemogućivanja dodavanja PAC potpisa postavljanjem potključa KrbtgtFullPacSignature na vrijednost 0.
Ažuriranja sustava Windows objavljena 11. srpnja 2023. ili kasnije učinite sljedeće:
-
Uklanja mogućnost postavljanja vrijednosti 1 za potključ KrbtgtFullPacSignature.
-
Premješta ažuriranje u način provedbe (zadano) (KrbtgtFullPacSignature = 3) koji administrator može nadjačati s eksplicitnom postavkom nadzora.
Ažuriranja sustava Windows objavljena 10. listopada 2023. ili kasnije učinite sljedeće:
-
Uklanja podršku za potključ registra KrbtgtFullPacSignature.
-
Uklanja podršku za način rada nadzora.
-
Svim servisnim kartama bez novih PAC potpisa bit će odbijena provjera autentičnosti.
Smjernice za implementaciju
Da biste implementirati ažuriranja sustava Windows od 8. studenog 2022. ili novija ažuriranja sustava Windows, slijedite ove korake:
-
Ažurirajte domenski kontroler sustava Windows ažuriranjem izdanim 8. studenog 2022. ili kasnije.
-
Kontrolere domene premjestite u način nadzora pomoću odjeljka postavki ključa registra.
-
PRATITE događaje koji su spremljeni tijekom načina rada nadzora da biste zaštitili svoje okruženje.
-
OMOGUĆITI Način provođenja za adresu CVE-2022-37967 u vašem okruženju.
PRVI KORAK: AŽURIRANJE
Implementirajte ažuriranja od 8. studenog 2022. ili novija na sve primjenjive kontrolere domene sustava Windows (DC-ove). Nakon implementacije ažuriranja domenski kontroleri sustava Windows koji su ažurirani bit će dodani potpisi u međuspremnik Kerberos PAC i po zadanom će biti nesigurni (ne provjerava se valjanost PAC potpisa).
-
Tijekom ažuriranja obavezno zadržite vrijednost registra KrbtgtFullPacSignature u zadanom stanju dok se ne ažuriraju svi domenski kontroleri sustava Windows.
DRUGI KORAK: PREMJEŠTANJE
Kada se kontrolori domene sustava Windows ažuriraju, prijeđite u način rada nadzora promjenom vrijednosti KrbtgtFullPacSignatureu 2.
TREĆI KORAK: TRAŽENJE/MONITOR
Odredite područja u kojima nedostaju PAC potpisi ili pak imaju PAC potpise koji ne uspijevaju proći provjeru valjanosti kroz zapisnike događaja koji se pokreću tijekom načina rada nadzora.
-
Prije premještanja u način provedbe provjerite je li funkcionalna razina domene postavljena na najmanje 2008 ili noviju. Prelazak na način provedbe s domenama na funkcionalnoj razini domene 2003 može dovesti do pogrešaka provjere autentičnosti.
-
Događaji nadzora pojavit će se ako vaša domena nije u potpunosti ažurirana ili ako na vašoj domeni još uvijek postoje neizvršene prethodno izdane servisne karte.
-
Nastavite pratiti dodatne zapisnike događaja koji označavaju da nema PAC potpisa ili neuspjelih provjera valjanosti postojećih PAC potpisa.
-
Nakon ažuriranja cijele domene i isteka svih neplaćenih ulaznica događaji nadzora više se ne bi trebali pojavljivati. Zatim biste se trebali moći prebaciti u način provođenja bez pogrešaka.
ČETVRTI KORAK: OMOGUĆIVANJE
Omogućite način provođenja za adresu CVE-2022-37967 u svom okruženju.
-
Kada se razriješe svi događaji nadzora i više se ne prikazuju, premjestite domene u način provođenja ažuriranjem vrijednosti registra KrbtgtFullPacSignature kao što je opisano u odjeljku Postavke ključa registra.
-
Ako servisna etiketa sadrži PAC potpis koji nije valjan ili mu nedostaju PAC potpisi, provjera valjanosti neće uspjeti i zapisuje se događaj pogreške.
Postavke ključa registra
Protokol Kerberos
Nakon instalacije ažuriranja sustava Windows koja su dairana 8. studenog 2022. ili nakon toga, za protokol Kerberos dostupan je sljedeći ključ registra:
-
KrbtgtFullPacSignature
Taj se ključ registra koristi za vrata implementacije promjena kerberos. Ovaj ključ registra je privremen i više se neće čitati nakon punog datuma provođenja od 10. listopada 2023.Ključ registra
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Vrijednost
KrbtgtFullPacSignature
Vrsta podataka
REG_DWORD
Podaci
0 – onemogućeno
1 – Dodaju se novi potpisi, ali se ne provjeravaju. (Zadana postavka)
2 – Nadzorni način rada. Dodaju se novi potpisi i provjeravaju postoje li. Ako potpis nedostaje ili nije valjan, dopuštena je provjera autentičnosti i stvaraju se zapisnici nadzora.
3 – Način provođenja. Dodaju se novi potpisi i provjeravaju postoje li. Ako potpis nedostaje ili nije valjan, odbijena je provjera autentičnosti i stvaraju se zapisnici nadzora.
Potrebno je ponovno pokretanje?
Ne
Napomena Ako morate promijeniti vrijednost registra KrbtgtFullPacSignature, ručno dodajte i konfigurirajte ključ registra da biste nadjačali zadanu vrijednost.
Događaji u sustavu Windows povezani s CVE-2022-37967
U načinu nadzora možete pronaći bilo koju od sljedećih pogrešaka ako PAC potpisi nedostaju ili nisu valjani. Ako se problem nastavi pojavljivati tijekom načina provođenja, ti će se događaji bilježiti kao pogreške.
Ako na uređaju pronađete bilo koju pogrešku, vjerojatno svi domenski kontroleri sustava Windows u vašoj domeni nisu ažurirani ažuriranjem sustava Windows od 8. studenog 2022. ili novijim. Da biste ublažili probleme, morat ćete dodatno istražiti svoju domenu da biste pronašli domenski kontroleri sustava Windows koji nisu ažurni.
Napomena Ako pronađete pogrešku s ID-om događaja 42, pogledajte članak KB5021131: Upravljanje promjenama protokola Kerberos povezanim s CVE-2022-37966.
Zapisnik događaja |
Sustav |
Vrsta događaja |
Upozorenje |
Izvor događaja |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID događaja |
43 |
Tekst događaja |
Centar za raspodjelu ključeva (KDC) naišao je na potvrdu da nije mogao provjeriti valjanost puni PAC potpis. Dodatne https://go.microsoft.com/fwlink/?linkid=2210019 potražite u članku. Klijent : <domene>/<naziv> |
Zapisnik događaja |
Sustav |
Vrsta događaja |
Upozorenje |
Izvor događaja |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID događaja |
44 |
Tekst događaja |
Centar za raspodjelu ključeva (KDC) naišao je na kartu koja nije sadržavala potpuni PAC potpis. Dodatne https://go.microsoft.com/fwlink/?linkid=2210019 potražite u članku. Klijent : <domene>/<naziv> |
Uređaji drugih proizvođača koji implementižu protokol Kerberos
Domene koje imaju domenski kontroler drugih proizvođača mogu vidjeti pogreške u načinu provođenja.
Domene s klijentima drugih proizvođača možda će trebati dulje da se u potpunosti očisti nadzor događaja nakon instalacije ažuriranja sustava Windows od 8. studenog 2022. ili novije verzije.
Obratite se proizvođaču uređaja (OEM-u) ili proizvođaču softvera da biste utvrdili je li njegov softver kompatibilan s najnovijom promjenom protokola.
Informacije o ažuriranjima protokola potražite u temi Protokol sustava Windows na Microsoftovu web-mjestu.
Rječnik
Kerberos je protokol za provjeru autentičnosti računalne mreže koji funkcionira na temelju "ulaznica" kako bi omogućio da čvorovi komuniciraju putem mreže kako bi dokazali svoj identitet jedan drugome na siguran način.
Servis Kerberos koji implementira usluge provjere autentičnosti i dodjele ulaznica navedene u protokolu Kerberos. Servis se pokreće na računalima koja je odabrao administrator domene ili domene; ne postoji na svim računalima u mreži. Mora imati pristup bazi podataka računa za kraljevstvo kojem služi. KDC-ovi su integrirani u ulogu kontrolora domene. To je mrežna usluga koja isporučuje ulaznice klijentima za korištenje u provjeri autentičnosti servisa.
Certifikat privilege atributa (PAC) struktura je koja prenosi informacije vezane uz autorizaciju koje pružaju domenski kontroleri (DC-ovi). Dodatne informacije potražite u članku Struktura podataka certifikata atributa ovlasti.
Posebna vrsta ulaznice koja se može koristiti za dobivanje drugih karata. Zahtjev za izdavanje ulaznica (TGT) dobiva se nakon početne provjere autentičnosti u zamjeni servisa za provjeru autentičnosti (AS). nakon toga korisnici ne moraju izlagati svoje vjerodajnice, ali mogu koristiti TGT za dobivanje naknadnih ulaznica.