ปรับ ปรุง
10 เมษายน 2023: อัปเดต "ระยะการปรับใช้ที่สาม" ตั้งแต่วันที่ 11 เมษายน 2023 ถึง 13 มิถุนายน 2023 ในส่วน "กําหนดเวลาการอัปเดตเพื่อจัดการ CVE-2022-37967"
ในบทความนี้
บทสรุป
การอัปเดต Windows ของวันที่ 8 พฤศจิกายน 2022 จะจัดการการเลี่ยงผ่านด้านความปลอดภัยและการยกระดับช่องโหว่สิทธิ์การใช้งานด้วยลายเซ็น Privilege Attribute Certificate (PAC) การอัปเดตความปลอดภัยนี้แก้ไขช่องโหว่ Kerberos ที่ผู้โจมตีอาจเปลี่ยนแปลงลายเซ็น PAC แบบดิจิทัล และยกระดับสิทธิ์ของพวกเขา
เพื่อช่วยรักษาความปลอดภัยให้กับสภาพแวดล้อมของคุณ ให้ติดตั้งการอัปเดต Windows นี้กับอุปกรณ์ทั้งหมด รวมถึงตัวควบคุมโดเมน Windows ตัวควบคุมโดเมนทั้งหมดในโดเมนของคุณต้องได้รับการอัปเดตก่อนจึงจะสลับการอัปเดตเป็นโหมดบังคับใช้ได้
เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่นี้ โปรดดู CVE-2022-37967
ดำเนิน
เพื่อช่วยปกป้องสภาพแวดล้อมของคุณและป้องกันการหยุดทํางาน เราขอแนะนําให้คุณทําตามขั้นตอนต่อไปนี้:
-
อัปเดตตัวควบคุมโดเมน Windows ของคุณด้วยการอัปเดต Windows ที่เผยแพร่ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้น
-
ย้ายตัวควบคุมโดเมน Windows ของคุณไปยังโหมดตรวจสอบโดยใช้ส่วนการตั้งค่ารีจิสทรีคีย์
-
ตรวจสอบ เหตุการณ์ที่จัดเก็บระหว่างโหมดตรวจสอบเพื่อรักษาความปลอดภัยให้กับสภาพแวดล้อมของคุณ
-
เปิดโหมดการบังคับใช้เพื่อจัดการ CVE-2022-37967 ในสภาพแวดล้อมของคุณ
หมาย เหตุ ขั้นตอนที่ 1 ของการติดตั้งการอัปเดตที่เผยแพร่ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้นจะไม่แก้ไขปัญหาด้านความปลอดภัยใน CVE-2022-37967 สําหรับอุปกรณ์ Windows ตามค่าเริ่มต้น เพื่อลดปัญหาด้านความปลอดภัยอย่างสมบูรณ์สําหรับอุปกรณ์ทั้งหมด คุณต้องย้ายไปยังโหมดตรวจสอบ (ตามที่อธิบายไว้ในขั้นตอนที่ 2) ตามด้วยโหมดบังคับใช้ (ตามที่อธิบายไว้ในขั้นตอนที่ 4) โดยเร็วที่สุดบนตัวควบคุมโดเมน Windows ทั้งหมด
สำคัญ ตั้งแต่เดือนกรกฎาคม 2023 โหมดการบังคับใช้จะเปิดใช้งานบนตัวควบคุมโดเมน Windows ทั้งหมด และจะบล็อกการเชื่อมต่อที่มีความเสี่ยงจากอุปกรณ์ที่ไม่ตรงตามมาตรฐาน ในเวลานั้น คุณจะไม่สามารถปิดใช้งานการอัปเดตได้ แต่อาจย้ายกลับไปยังการตั้งค่าโหมดตรวจสอบ โหมดการตรวจสอบจะถูกลบออกในเดือนตุลาคม 2023 ตามที่ระบุไว้ในส่วน กําหนดเวลาการอัปเดต เพื่อแก้ไขช่องโหว่ Kerberos CVE-2022-37967
เวลาในการอัปเดตที่อยู่ CVE-2022-37967
Updates จะเผยแพร่ในระยะต่างๆ: ระยะเริ่มต้นสําหรับการอัปเดตที่เผยแพร่ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้นและระยะเวลาการบังคับใช้สําหรับการอัปเดตที่เผยแพร่ในวันที่ 13 มิถุนายน 2023 หรือหลังจากนั้น
ขั้นตอนการปรับใช้ครั้งแรกจะเริ่มต้นด้วยการอัปเดตที่เผยแพร่เมื่อวันที่ 8 พฤศจิกายน 2022 และดําเนินการต่อกับการอัปเดต Windows ในภายหลังจนกว่าจะถึงระยะการบังคับใช้ การอัปเดตนี้จะเพิ่มลายเซ็นลงในบัฟเฟอร์ Kerberos PAC แต่ไม่ได้ตรวจสอบลายเซ็นระหว่างการรับรองความถูกต้อง ดังนั้นโหมดความปลอดภัยจะถูกปิดใช้งานตามค่าเริ่มต้น
การอัปเดตนี้:
-
เพิ่มลายเซ็น PAC ลงในบัฟเฟอร์ Kerberos PAC
-
เพิ่มมาตรการเพื่อจัดการกับช่องโหว่การเลี่ยงผ่านการรักษาความปลอดภัยในโพรโทคอล Kerberos
ระยะการปรับใช้ครั้งที่สองจะเริ่มต้นด้วยการอัปเดตที่เผยแพร่ในวันที่ 13 ธันวาคม 2022 การอัปเดตเหล่านี้และใหม่กว่าทําการเปลี่ยนแปลงโพรโทคอล Kerberos เพื่อตรวจสอบ อุปกรณ์ Windows โดยการย้ายตัวควบคุมโดเมน Windows ไปยังโหมดตรวจสอบ
ด้วยการอัปเดตนี้ อุปกรณ์ ทั้งหมดจะอยู่ในโหมดตรวจสอบตามค่าเริ่มต้น:
-
ถ้าลายเซ็นหายไปหรือไม่ถูกต้อง จะได้รับอนุญาตการรับรองความถูกต้อง นอกจากนี้ จะมีการสร้างบันทึกการตรวจสอบ
-
ถ้าลายเซ็นหายไป ให้เพิ่มเหตุการณ์และ อนุญาต การรับรองความถูกต้อง
-
ถ้ามีลายเซ็นอยู่ ให้ตรวจสอบความถูกต้อง ถ้าลายเซ็นไม่ถูกต้อง ให้เพิ่มเหตุการณ์และอนุญาตการรับรองความถูกต้อง
การอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มิถุนายน 2023 หรือหลังจากนั้นจะทําดังต่อไปนี้:
-
เอาความสามารถในการปิดใช้งานการเพิ่มลายเซ็น PAC ออกโดยการตั้งค่าคีย์ย่อย KrbtgtFullPacSignature เป็นค่า 0
การอัปเดต Windows ที่เผยแพร่ในวันที่ 11 กรกฎาคม 2023 หรือหลังจากนั้นจะทําดังต่อไปนี้:
-
เอาความสามารถในการตั้งค่า 1 สําหรับคีย์ย่อย KrbtgtFullPacSignature ออก
-
ย้ายการอัปเดตไปยังโหมดการบังคับใช้ (ค่าเริ่มต้น) (KrbtgtFullPacSignature = 3) ซึ่งสามารถแทนที่ได้โดยผู้ดูแลระบบที่มีการตั้งค่าการตรวจสอบที่ชัดเจน
การอัปเดต Windows ที่เผยแพร่ในวันที่ 10 ตุลาคม 2023 หรือหลังจากนั้นจะทําดังต่อไปนี้:
-
เอาการสนับสนุนสําหรับคีย์ย่อยรีจิสทรี KrbtgtFullPacSignature ออก
-
เอาการสนับสนุนสําหรับโหมดตรวจสอบออก
-
ตั๋วบริการทั้งหมดที่ไม่มีลายเซ็น PAC ใหม่จะถูกปฏิเสธการรับรองความถูกต้อง
แนวทางการปรับใช้
เมื่อต้องการปรับใช้การอัปเดต Windows ที่มีวันที่ 8 พฤศจิกายน 2022 หรือการอัปเดต Windows ที่ใหม่กว่า ให้ทําตามขั้นตอนเหล่านี้:
-
อัปเดตตัวควบคุมโดเมน Windows ของคุณด้วยการอัปเดตที่เผยแพร่ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้น
-
ย้ายตัวควบคุมโดเมนของคุณไปยังโหมดตรวจสอบโดยใช้ส่วนการตั้งค่ารีจิสทรีคีย์
-
ตรวจสอบ เหตุการณ์ที่จัดเก็บระหว่างโหมดตรวจสอบเพื่อช่วยรักษาความปลอดภัยให้กับสภาพแวดล้อมของคุณ
-
เปิด โหมดการบังคับใช้เพื่อจัดการ CVE-2022-37967 ในสภาพแวดล้อมของคุณ
ขั้นตอนที่ 1: อัปเดต
ปรับใช้การอัปเดตวันที่ 8 พฤศจิกายน 2022 หรือใหม่กว่ากับตัวควบคุมโดเมน (DC) ที่ใช้ได้ทั้งหมด หลังจากปรับใช้การอัปเดต ตัวควบคุมโดเมน Windows ที่ได้รับการอัปเดตจะมีลายเซ็นที่เพิ่มลงในบัฟเฟอร์ Kerberos PAC และจะไม่ปลอดภัยตามค่าเริ่มต้น (ลายเซ็น PAC ไม่ได้รับการตรวจสอบความถูกต้อง)
-
ขณะอัปเดต ตรวจสอบให้แน่ใจว่าเก็บค่ารีจิสทรี KrbtgtFullPacSignature ไว้ในสถานะเริ่มต้นจนกว่าตัวควบคุมโดเมน Windows ทั้งหมดจะได้รับการอัปเดต
ขั้นตอนที่ 2: ย้าย
เมื่ออัปเดตตัวควบคุมโดเมน Windows แล้ว ให้สลับไปยังโหมดตรวจสอบโดยการเปลี่ยนค่า KrbtgtFullPacSignature เป็น 2
ขั้นตอนที่ 3: ค้นหา/จอภาพ
ระบุพื้นที่ที่ลายเซ็น PAC หายไปหรือมีลายเซ็น PAC ที่ล้มเหลวในการตรวจสอบความถูกต้องผ่านบันทึกเหตุการณ์ที่ทริกเกอร์ในระหว่างโหมดตรวจสอบ
-
ตรวจสอบให้แน่ใจว่าได้ตั้งค่า ระดับฟังก์ชันของโดเมน เป็นอย่างน้อย 2008 หรือมากกว่าก่อนที่จะย้ายไปยังโหมดการบังคับใช้ การย้ายไปยังโหมดการบังคับใช้กับโดเมนในระดับฟังก์ชันโดเมน 2003 อาจส่งผลให้การรับรองความถูกต้องล้มเหลว
-
เหตุการณ์การตรวจสอบจะปรากฏขึ้นถ้าโดเมนของคุณไม่ได้รับการอัปเดตอย่างสมบูรณ์ หรือถ้าตั๋วบริการที่ออกให้ก่อนหน้านี้ยังคงมีอยู่ในโดเมนของคุณ
-
ดําเนินการตรวจสอบแฟ้มบันทึกเหตุการณ์เพิ่มเติมที่จัดเก็บซึ่งระบุว่าลายเซ็น PAC หายไปหรือความล้มเหลวในการตรวจสอบความถูกต้องของลายเซ็น PAC ที่มีอยู่
-
หลังจากอัปเดตทั้งโดเมนและตั๋วค้างชําระทั้งหมดหมดอายุแล้ว เหตุการณ์การตรวจสอบไม่ควรปรากฏขึ้นอีก จากนั้น คุณควรจะสามารถย้ายไปยังโหมดการบังคับใช้ได้โดยไม่มีความล้มเหลว
ขั้นตอนที่ 4: เปิดใช้งาน
เปิดใช้งานโหมดการบังคับใช้เพื่อจัดการ CVE-2022-37967 ในสภาพแวดล้อมของคุณ
-
เมื่อเหตุการณ์การตรวจสอบทั้งหมดได้รับการแก้ไขและไม่ปรากฏอีกต่อไป ให้ย้ายโดเมนของคุณไปยังโหมดการบังคับใช้โดยการอัปเดตค่ารีจิสทรี KrbtgtFullPacSignature ตามที่อธิบายไว้ในส่วนการตั้งค่ารีจิสทรีคีย์
-
ถ้าตั๋วบริการมีลายเซ็น PAC ที่ไม่ถูกต้องหรือลายเซ็น PAC ขาดหายไป การตรวจสอบความถูกต้องจะล้มเหลวและเหตุการณ์ข้อผิดพลาดจะถูกบันทึก
การตั้งค่ารีจิสทรีคีย์
โพรโทคอล Kerberos
หลังจากติดตั้งการอัปเดต Windows ที่ลงวันที่หรือหลังจากวันที่ 8 พฤศจิกายน 2022 คีย์รีจิสทรีต่อไปนี้จะพร้อมใช้งานสําหรับโพรโทคอล Kerberos:
-
KrbtgtFullPacSignature รีจิสทรีคีย์นี้ใช้สําหรับปิดการปรับใช้ของการเปลี่ยนแปลง Kerberos รีจิสทรีคีย์นี้เป็นรีจิสทรีแบบชั่วคราว และจะไม่อ่านอีกต่อไปหลังจากวันที่บังคับใช้เต็มรูปแบบของวันที่ 10 ตุลาคม 2023
รีจิสทรีคีย์
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
ค่า
KrbtgtFullPacSignature
ชนิดข้อมูล
Reg_dword
ข้อมูล
0 – ปิดใช้งาน
1 – มีการเพิ่มลายเซ็นใหม่ แต่ไม่ได้รับการตรวจสอบ (การตั้งค่าเริ่มต้น)
2 - โหมดตรวจสอบ ลายเซ็นใหม่จะถูกเพิ่ม และตรวจสอบถ้ามี ถ้าลายเซ็นหายไปหรือไม่ถูกต้อง จะอนุญาตการรับรองความถูกต้องและบันทึกการตรวจสอบจะถูกสร้างขึ้น
3 - โหมดการบังคับใช้ ลายเซ็นใหม่จะถูกเพิ่ม และตรวจสอบถ้ามี ถ้าลายเซ็นหายไปหรือไม่ถูกต้อง การรับรองความถูกต้องจะถูกปฏิเสธและบันทึกการตรวจสอบจะถูกสร้างขึ้น
จําเป็นต้องเริ่มระบบของคอมพิวเตอร์ใหม่หรือไม่
ไม่ใช่
หมายเหตุ ถ้าคุณต้องการเปลี่ยนค่ารีจิสทรี KrbtgtFullPacSignature ให้เพิ่มด้วยตนเอง แล้วกําหนดค่ารีจิสทรีคีย์เพื่อแทนที่ค่าเริ่มต้น
เหตุการณ์ของ Windows ที่เกี่ยวข้องกับ CVE-2022-37967
ในโหมดตรวจสอบ คุณอาจพบข้อผิดพลาดต่อไปนี้ถ้าลายเซ็น PAC หายไปหรือไม่ถูกต้อง ถ้าปัญหานี้ยังคงอยู่ระหว่างโหมดการบังคับใช้ เหตุการณ์เหล่านี้จะถูกบันทึกเป็นข้อผิดพลาด
หากคุณพบข้อผิดพลาดบนอุปกรณ์ของคุณ อาจเป็นไปได้ว่าตัวควบคุมโดเมน Windows ทั้งหมดในโดเมนของคุณไม่ใช่ข้อมูลล่าสุดเมื่อวันที่ 8 พฤศจิกายน 2022 หรือการอัปเดต Windows ที่ใหม่กว่า เพื่อลดปัญหา คุณจะต้องตรวจสอบโดเมนของคุณเพิ่มเติมเพื่อค้นหาตัวควบคุมโดเมน Windows ที่ไม่มีข้อมูลล่าสุด
หมายเหตุ หากคุณพบข้อผิดพลาดที่มีรหัสเหตุการณ์ 42 โปรดดู KB5021131: วิธีจัดการการเปลี่ยนแปลงโพรโทคอล Kerberos ที่เกี่ยวข้องกับ CVE-2022-37966
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งเหตุการณ์ |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
|
ID เหตุการณ์ |
43 |
|
ข้อความเหตุการณ์ |
ศูนย์การแจกจ่ายคีย์ (KDC) พบตั๋วที่ไม่สามารถตรวจสอบความถูกต้องของ ลายเซ็น PAC แบบเต็ม ดู https://go.microsoft.com/fwlink/?linkid=2210019 เพื่อเรียนรู้เพิ่มเติม ลูกค้า : <realm>/<name> |
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งเหตุการณ์ |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
|
ID เหตุการณ์ |
44 |
|
ข้อความเหตุการณ์ |
Key Distribution Center (KDC) พบตั๋วที่ไม่มีลายเซ็น PAC แบบเต็ม ดู https://go.microsoft.com/fwlink/?linkid=2210019 เพื่อเรียนรู้เพิ่มเติม ลูกค้า : <realm>/<name> |
อุปกรณ์ของบริษัทอื่นที่ใช้โพรโทคอล Kerberos
โดเมนที่มีตัวควบคุมโดเมนของบริษัทอื่นอาจเห็นข้อผิดพลาดในโหมดการบังคับใช้
โดเมนที่มีไคลเอ็นต์ของบริษัทภายนอกอาจใช้เวลานานขึ้นเพื่อล้างเหตุการณ์การตรวจสอบโดยสมบูรณ์หลังจากการติดตั้งการอัปเดต Windows เมื่อวันที่ 8 พฤศจิกายน 2022 หรือใหม่กว่า
ติดต่อผู้ผลิตอุปกรณ์ (OEM) หรือผู้จําหน่ายซอฟต์แวร์เพื่อตรวจสอบว่ามีซอฟต์แวร์ที่เข้ากันได้กับการเปลี่ยนแปลงโพรโทคอลล่าสุดหรือไม่
สําหรับข้อมูลเกี่ยวกับการอัปเดตโพรโทคอล โปรดดูหัวข้อ Windows Protocol บนเว็บไซต์ Microsoft
อภิธาน ศัพท์
Kerberos เป็นโพรโทคอลการรับรองความถูกต้องของเครือข่ายคอมพิวเตอร์ที่ทํางานตาม "ตั๋ว" เพื่ออนุญาตให้โหนดสื่อสารผ่านเครือข่ายเพื่อพิสูจน์ข้อมูลประจําตัวของพวกเขาต่อกันอย่างปลอดภัย
บริการ Kerberos ที่ใช้บริการการรับรองความถูกต้องและการให้ตั๋วที่ระบุไว้ในโพรโทคอล Kerberos บริการจะทํางานบนคอมพิวเตอร์ที่เลือกโดยผู้ดูแลระบบของขอบเขตหรือโดเมน ไม่มีอยู่ในทุกเครื่องบนเครือข่าย จะต้องมีการเข้าถึงฐานข้อมูลบัญชีสําหรับขอบเขตที่ให้บริการ KDC ถูกรวมเข้ากับบทบาทตัวควบคุมโดเมน มันเป็นบริการเครือข่ายที่จัดหาตั๋วให้กับลูกค้าสําหรับใช้ในการรับรองความถูกต้องของบริการ
ใบรับรองแอตทริบิวต์สิทธิ์ (PAC) เป็นโครงสร้างที่แสดงข้อมูลที่เกี่ยวข้องกับการอนุญาตที่มาจากตัวควบคุมโดเมน (DC) สําหรับข้อมูลเพิ่มเติม ให้ดู โครงสร้างข้อมูลใบรับรองแอตทริบิวต์สิทธิ์การใช้งาน
ตั๋วประเภทพิเศษที่สามารถใช้เพื่อรับตั๋วอื่น ๆ ได้รับ Ticket-granting Ticket (TGT) หลังจากการรับรองความถูกต้องเริ่มต้นในการแลกเปลี่ยนบริการการรับรองความถูกต้อง (AS) หลังจากนั้นผู้ใช้ไม่จําเป็นต้องแสดงข้อมูลประจําตัวของพวกเขา แต่สามารถใช้ TGT เพื่อรับตั๋วในภายหลัง
