Microsoft behebt Schwachstellen im Kerberos PAC Validation Protocol: CVE-2024-26248 und CVE-2024-29056

Am Dienstag, den 9. April 2024, hat Microsoft die Updates KB5036892 und KB5036893 für Windows 10 und 11 veröffentlicht, die einige neue Funktionen einführen und bekannte Probleme beheben.

Damit hat Microsoft auch einige Sicherheitslücken bei der Kerberos PAC-Authentifizierung gepatcht, die unter CVE-2024-26248 und CVE-2024-29056 erfasst sind.

Bei beiden Schwachstellen handelt es sich um Fehler zur Erhöhung von Berechtigungen, die die zuvor in KB5020805 implementierten PAC-Signaturprüfungen umgehen.

Im Supportdokument heißt es:

Das Dokument erwähnt einen wichtigen Punkt: Das Herunterladen und Installieren der Updates am oder nach dem 9. April 2024 behebt die Sicherheitsprobleme in CVE-2024-26248 und CVE-2024-29056 nicht direkt und standardmäßig.

Sobald die Umgebung vollständig aktualisiert ist, müssen Sie in den erzwungenen Modus wechseln, um die Sicherheitsprobleme für alle Geräte vollständig zu beheben.

Dies bedeutet, dass Sie zunächst sicherstellen müssen, dass Windows-Domänencontroller und -Clients mit dem Sicherheitsupdate aktualisiert werden, das am oder nach dem 9. April 2024 veröffentlicht wird. Überprüfen Sie anschließend den Kompatibilitätsmodus, um festzustellen, ob die Geräte aktualisiert sind.

Aktivieren Sie als Nächstes den Durchsetzungsmodus in Ihrer Umgebung, um Sicherheitsprobleme wie CVE-2024-26248 und CVE-2024-29056 zu beseitigen.

Hier sind die Details der bevorstehenden Änderungen

Weitere Einzelheiten erfahren Sie im Supportdokument zu KB5037754 . Haben Sie den am 9. April veröffentlichten Sicherheitspatch installiert? Falls nicht, installieren Sie ihn so schnell wie möglich und stellen Sie sicher, dass der Durchsetzungsmodus aktiviert ist, um diese Sicherheitsprobleme zu beheben.

9. April 2024: Erste Bereitstellungsphase – Kompatibilitätsmodus

Die erste Bereitstellungsphase beginnt mit den am 9. April 2024 veröffentlichten Updates. Dieses Update fügt ein neues Verhalten hinzu, das die in CVE-2024-26248 und CVE-2024-29056 beschriebenen Schwachstellen zur Erhöhung von Berechtigungen verhindert, dies jedoch nicht erzwingt, sofern nicht sowohl die Windows-Domänencontroller als auch die Windows-Clients in der Umgebung aktualisiert werden.

Um das neue Verhalten zu aktivieren und die Sicherheitsrisiken zu verringern, müssen Sie sicherstellen, dass Ihre gesamte Windows-Umgebung (einschließlich Domänencontroller und Clients) aktualisiert ist. Überwachungsereignisse werden protokolliert, um nicht aktualisierte Geräte zu identifizieren.

15. Oktober 2024: Phase der Durchsetzung durch Standard

Updates, die am oder nach dem 15. Oktober 2024 veröffentlicht werden, versetzen alle Windows-Domänencontroller und -Clients in der Umgebung in den erzwungenen Modus, indem sie die Einstellungen der Registrierungsunterschlüssel auf PacSignatureValidationLevel=3 und CrossDomainFilteringLevel=4 ändern und so standardmäßig das sichere Verhalten erzwingen.

Die Einstellungen „Standardmäßig erzwungen“ können von einem Administrator überschrieben werden, um zum Kompatibilitätsmodus zurückzukehren.

8. April 2025: Durchsetzungsphase

Die am oder nach dem 8. April 2025 veröffentlichten Windows-Sicherheitsupdates entfernen die Unterstützung für die Registrierungsunterschlüssel PacSignatureValidationLevel und CrossDomainFilteringLevel und erzwingen das neue sichere Verhalten. Nach der Installation dieses Updates wird der Kompatibilitätsmodus nicht mehr unterstützt.

Die am oder nach dem 9. April 2024 veröffentlichten Windows-Sicherheitsupdates beheben Schwachstellen bei der Rechteausweitung mit dem Kerberos PAC Validation Protocol . Das Privilege Attribute Certificate (PAC) ist eine Erweiterung der Kerberos-Servicetickets. Es enthält Informationen über den authentifizierenden Benutzer und seine Berechtigungen. Dieses Update behebt eine Schwachstelle, bei der der Benutzer des Prozesses die Signatur fälschen kann, um die in KB5020805 hinzugefügten Sicherheitsüberprüfungen zur PAC-Signaturvalidierung zu umgehen .