Diperbarui
10 April 2023: Memperbarui bagian "Tahap penyebaran ketiga" dari 11 April 2023 hingga 13 Juni 2023 dalam bagian "Pengaturan waktu pembaruan untuk mengatasi CVE-2022-37967".
Dalam artikel ini
Rangkuman
Pembaruan Windows 8 November 2022 mengatasi bypass keamanan dan peningkatan kerentanan hak istimewa dengan tanda tangan Sertifikat Atribut Hak Istimewa (PAC). Pembaruan keamanan ini membahas kerentanan Kerberos di mana penyerang dapat mengubah tanda tangan PAC secara digital, meningkatkan hak istimewa mereka.
Untuk membantu mengamankan lingkungan Anda, instal pembaruan Windows ini ke semua perangkat, termasuk pengontrol domain Windows. Semua pengontrol domain di domain Anda harus diperbarui terlebih dahulu sebelum mengalihkan pembaruan ke mode Diberlakukan.
Untuk mempelajari selengkapnya tentang kerentanan ini, lihat CVE-2022-37967.
Ambil Tindakan
Untuk membantu melindungi lingkungan Anda dan mencegah pemadaman, kami menyarankan agar Anda melakukan langkah-langkah berikut:
-
PERBARUI pengontrol domain Windows Anda dengan pembaruan Windows yang dirilis pada atau setelah 8 November 2022.
-
PINDAHKAN pengontrol domain Windows Anda ke mode Audit menggunakan bagian pengaturan Kunci Registri .
-
PANTAU kejadian yang diarsipkan selama mode Audit untuk mengamankan lingkungan Anda.
-
MENGAKTIFKANMode penerapan untuk mengatasi CVE-2022-37967 di lingkungan Anda.
Catatan Langkah 1 menginstal pembaruan yang dirilis pada atau setelah 8 November 2022 TIDAK akan mengatasi masalah keamanan di CVE-2022-37967 untuk perangkat Windows secara default. Untuk sepenuhnya mengurangi masalah keamanan untuk semua perangkat, Anda harus berpindah ke mode Audit (dijelaskan dalam Langkah 2) diikuti dengan mode Diberlakukan (dijelaskan dalam Langkah 4) sesegera mungkin di semua pengontrol domain Windows.
Penting Mulai Juli 2023, mode Penerapan akan diaktifkan di semua pengontrol domain Windows dan akan memblokir koneksi yang rentan dari perangkat yang tidak sesuai. Pada saat itu, Anda tidak akan dapat menonaktifkan pembaruan, tetapi dapat kembali ke pengaturan Mode audit. Mode audit akan dihapus pada Oktober 2023, seperti yang diuraikan dalam pengaturan waktu pembaruan untuk mengatasi bagian CVE kerentanan Kerberos-2022-37967 .
Pengaturan waktu pembaruan untuk mengatasi CVE-2022-37967
Updates akan dirilis dalam fase: fase awal untuk pembaruan yang dirilis pada atau setelah 8 November 2022 dan fase Penerapan untuk pembaruan yang dirilis pada atau setelah 13 Juni 2023.
Fase penyebaran awal dimulai dengan pembaruan yang dirilis pada 8 November 2022 dan dilanjutkan dengan pembaruan Windows yang lebih baru hingga fase Penerapan. Pembaruan ini menambahkan tanda tangan ke buffer PaC Kerberos tetapi tidak memeriksa tanda tangan selama autentikasi. Dengan demikian, mode aman dinonaktifkan secara default.
Pembaruan ini:
-
Menambahkan tanda tangan PAC ke buffer PAC Kerberos.
-
Menambahkan langkah-langkah untuk mengatasi kerentanan bypass keamanan dalam protokol Kerberos.
Fase penyebaran kedua dimulai dengan pembaruan yang dirilis pada 13 Desember 2022. Pembaruan ini dan yang lebih baru membuat perubahan pada protokol Kerberos untuk mengaudit perangkat Windows dengan memindahkan pengontrol domain Windows ke mode Audit.
Dengan pembaruan ini, semua perangkat akan berada dalam mode Audit secara default:
-
Jika tanda tangan hilang atau tidak valid, autentikasi diperbolehkan. Selain itu, log audit akan dibuat.
-
Jika tanda tangan hilang, angkat acara dan izinkan autentikasi.
-
Jika tanda tangan ada, validasi tanda tangan tersebut. Jika tanda tangan salah, angkat acara dan izinkan autentikasi.
Pembaruan Windows yang dirilis pada atau setelah 13 Juni 2023 akan melakukan hal berikut:
-
Hapus kemampuan untuk menonaktifkan penambahan tanda tangan PAC dengan mengatur subkey KrbtgtFullPacSignature ke nilai 0.
Pembaruan Windows yang dirilis pada atau setelah 11 Juli 2023 akan melakukan hal berikut:
-
Menghapus kemampuan untuk mengatur nilai 1 untuk subkey KrbtgtFullPacSignature.
-
Memindahkan pembaruan ke mode Penegakan (Default) (KrbtgtFullPacSignature = 3) yang dapat ditimpa oleh Administrator dengan pengaturan Audit eksplisit.
Pembaruan Windows yang dirilis pada atau setelah 10 Oktober 2023 akan melakukan hal berikut:
-
Menghapus dukungan untuk subkey registri KrbtgtFullPacSignature.
-
Menghapus dukungan untuk mode Audit.
-
Semua tiket layanan tanpa tanda tangan PAC baru akan ditolak autentikasi.
Panduan penyebaran
Untuk menyebarkan pembaruan Windows yang tertanggal 8 November 2022 atau yang lebih baru, ikuti langkah-langkah berikut:
-
PERBARUI pengontrol domain Windows Anda dengan pembaruan yang dirilis pada atau setelah 8 November 2022.
-
PINDAHKAN pengontrol domain Anda ke mode Audit menggunakan bagian pengaturan Kunci Registri.
-
PANTAU kejadian yang diarsipkan selama mode Audit untuk membantu mengamankan lingkungan Anda.
-
MENGAKTIFKAN Mode penerapan untuk mengatasi CVE-2022-37967 di lingkungan Anda.
LANGKAH 1: PERBARUI
Sebarkan pembaruan 8 November 2022 atau yang lebih baru ke semua pengontrol domain Windows (DC) yang berlaku. Setelah menyebarkan pembaruan, pengontrol domain Windows yang telah diperbarui akan memiliki tanda tangan yang ditambahkan ke Buffer PAC Kerberos dan akan tidak aman secara default (tanda tangan PAC tidak divalidasi).
-
Saat memperbarui, pastikan untuk mempertahankan nilai registri KrbtgtFullPacSignature dalam status default hingga semua pengontrol domain Windows diperbarui.
LANGKAH 2: PINDAHKAN
Setelah pengontrol domain Windows diperbarui, beralihlah ke mode Audit dengan mengubah nilai KrbtgtFullPacSignature menjadi 2.
LANGKAH 3: TEMUKAN/MONITOR
Identifikasi area yang memiliki tanda tangan PAC yang hilang atau memiliki Tanda Tangan PAC yang gagal validasi melalui Log Kejadian yang dipicu selama mode Audit.
-
Pastikan bahwa tingkat fungsi domain diatur ke setidaknya 2008 atau yang lebih besar sebelum berpindah ke mode Penerapan. Berpindah ke mode Penegakan dengan domain di tingkat fungsional domain 2003 dapat mengakibatkan kegagalan autentikasi.
-
Kejadian audit akan muncul jika domain Anda tidak diperbarui sepenuhnya, atau jika tiket layanan yang dikeluarkan sebelumnya masih ada di domain Anda.
-
Terus pantau log kejadian tambahan yang diarsipkan yang menunjukkan tanda tangan PAC yang hilang atau kegagalan validasi tanda tangan PAC yang sudah ada.
-
Setelah seluruh domain diperbarui dan semua tiket beredar telah kedaluwarsa, kejadian audit seharusnya tidak lagi muncul. Lalu, Anda harus bisa berpindah ke mode Penegakan tanpa kegagalan.
LANGKAH 4: AKTIFKAN
Aktifkan mode Penerapan untuk mengatasi CVE-2022-37967 di lingkungan Anda.
-
Setelah semua kejadian audit diatasi dan tidak lagi muncul, pindahkan domain Anda ke mode Penegakan dengan memperbarui nilai registri KrbtgtFullPacSignature seperti yang dijelaskan di bagian Pengaturan Kunci Registri.
-
Jika tiket layanan memiliki tanda tangan PAC yang tidak valid atau tanda tangan PAC yang hilang, validasi akan gagal dan kejadian kesalahan akan dicatat.
Pengaturan Kunci Registri
Protokol Kerberos
Setelah menginstal pembaruan Windows yang tertanggal pada atau setelah 8 November 2022, kunci registri berikut tersedia untuk protokol Kerberos:
-
KrbtgtFullPacSignature
Kunci registri ini digunakan untuk memajukan penyebaran perubahan Kerberos. Kunci registri ini bersifat sementara, dan tidak akan lagi dibaca setelah tanggal berlaku penuh 10 Oktober 2023.Kunci registri
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Nilai
KrbtgtFullPacSignature
Tipe data
REG_DWORD
Data
0 – Dinonaktifkan
1 – Tanda tangan baru ditambahkan, tetapi tidak diverifikasi. (Pengaturan default)
2 - Mode audit. Tanda tangan baru ditambahkan, dan diverifikasi jika ada. Jika tanda tangan hilang atau tidak valid, autentikasi diperbolehkan dan log audit dibuat.
3 - Mode penerapan. Tanda tangan baru ditambahkan, dan diverifikasi jika ada. Jika tanda tangan hilang atau tidak valid, autentikasi ditolak dan log audit dibuat.
Mulai ulang diperlukan?
Tidak
Catatan Jika Anda perlu mengubah nilai registri KrbtgtFullPacSignature, tambahkan secara manual lalu konfigurasi kunci registri untuk menimpa nilai default.
Kejadian Windows terkait CVE-2022-37967
Dalam mode Audit, Anda mungkin menemukan salah satu kesalahan berikut jika Tanda Tangan PAC hilang atau tidak valid. Jika masalah ini berlanjut selama mode Penerapan, kejadian ini akan dicatat sebagai kesalahan.
Jika Anda menemukan kesalahan di perangkat Anda, kemungkinan semua pengontrol domain Windows di domain Anda tidak diperbarui dengan pembaruan Windows 8 November 2022 atau yang lebih baru. Untuk mengurangi masalah, Anda perlu menyelidiki domain Anda lebih lanjut untuk menemukan pengontrol domain Windows yang tidak diperbarui.
Catatan Jika menemukan kesalahan dengan EVENT ID 42, silakan lihat KB5021131: Cara mengelola perubahan protokol Kerberos yang terkait dengan CVE-2022-37966.
Log Kejadian |
Sistem |
Tipe Kejadian |
Peringatan |
Sumber Kejadian |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID Kejadian |
43 |
Teks Acara |
Key Distribution Center (KDC) mengalami tiket yang tidak dapat divalidasi Tanda Tangan PAC lengkap. Lihat https://go.microsoft.com/fwlink/?linkid=2210019 untuk mempelajari selengkapnya. Klien : <> nama>/< |
Log kejadian |
Sistem |
Tipe kejadian |
Peringatan |
Sumber Kejadian |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID Kejadian |
44 |
Teks acara |
Key Distribution Center (KDC) menemukan tiket yang tidak berisi Tanda Tangan PAC penuh. Lihat https://go.microsoft.com/fwlink/?linkid=2210019 untuk mempelajari selengkapnya. Klien : <> nama>/< |
Perangkat pihak ketiga menerapkan protokol Kerberos
Domain yang memiliki pengontrol domain pihak ketiga mungkin melihat kesalahan dalam mode Penerapan.
Domain dengan klien pihak ketiga mungkin membutuhkan waktu lebih lama untuk sepenuhnya dihapus dari kejadian audit setelah penginstalan pembaruan Windows 8 November 2022 atau yang lebih baru.
Hubungi produsen perangkat (OEM) atau vendor perangkat lunak untuk menentukan apakah perangkat lunak mereka kompatibel dengan perubahan protokol terbaru.
Untuk informasi tentang pembaruan protokol, lihat topik Protokol Windows di situs web Microsoft.
Daftar istilah
Kerberos adalah protokol autentikasi jaringan komputer yang bekerja berdasarkan "tiket" untuk memungkinkan simpul berkomunikasi melalui jaringan untuk membuktikan identitas mereka satu sama lain dengan cara yang aman.
Layanan Kerberos yang menerapkan layanan autentikasi dan pemberian tiket yang ditentukan dalam protokol Kerberos. Layanan berjalan di komputer yang dipilih oleh administrator kerajaan atau domain; tidak ada pada setiap mesin di jaringan. Ini harus memiliki akses ke database akun untuk ranah yang dilayaninya. KDC diintegrasikan ke dalam peran pengontrol domain. Ini adalah layanan jaringan yang menyediakan tiket ke klien untuk digunakan dalam mengautentikasi ke layanan.
Sertifikat Atribut Hak Istimewa (PAC) adalah struktur yang menyampaikan informasi terkait otorisasi yang disediakan oleh pengontrol domain (DC). Untuk informasi selengkapnya, lihat Struktur Data Sertifikat Atribut Hak Istimewa.
Jenis tiket khusus yang dapat digunakan untuk mendapatkan tiket lainnya. Tiket Pemberian Tiket (TGT) diperoleh setelah autentikasi awal dalam pertukaran Layanan Autentikasi (AS) ; setelah itu, pengguna tidak perlu menyajikan kredensial mereka, tetapi dapat menggunakan TGT untuk mendapatkan tiket berikutnya.