Microsoft aktualisiert die dritte Phase der Windows DC-Härtungs-Roadmap für die Kerberos-Sicherheitslücke

Bereits im November, am zweiten Dienstag im Monat, veröffentlichte Microsoft sein Patch Tuesday-Update. Die Version für Server ( KB5019081 ) adressierte eine Windows-Kerberos-Schwachstelle zur Erhöhung von Berechtigungen, die es Angreifern ermöglichte, Privilege Attribute Certificate (PAC)-Signaturen zu ändern (verfolgt unter ID „ CVE-2022-37967 “). Microsoft hat empfohlen, das Update auf allen Windows-Geräten einschließlich Domänencontrollern bereitzustellen.

Um bei der Bereitstellung zu helfen, hat Microsoft Anleitungen veröffentlicht. Die Firma fasste die Sache wie folgt zusammen:

Die Windows-Updates vom 8. November 2022 beheben Schwachstellen bei der Sicherheitsumgehung und Erhöhung von Berechtigungen mit Signaturen von Privilege Attribute Certificate (PAC). Dieses Sicherheitsupdate behebt Kerberos-Schwachstellen, bei denen ein Angreifer PAC-Signaturen digital ändern und so seine Berechtigungen erhöhen könnte.

Um Ihre Umgebung zu schützen, installieren Sie dieses Windows-Update auf allen Geräten, einschließlich Windows-Domänencontrollern.

Ende letzten Monats hat das Unternehmen eine Mahnung bezüglich der dritten Bereitstellungsphase herausgegeben . Während es mit dem Patch Tuesday in diesem Monat erscheinen sollte, hat Microsoft es nun um ein paar Monate auf Juni verschoben. Das Update im Message Center des Windows Health-Dashboards sagt :

Der Juni-Patchday wird die folgende Härtungsänderung am Kerberos-Protokoll vornehmen:

Die am oder nach dem 13. Juni 2023 veröffentlichten Windows-Updates bewirken Folgendes:

• Entfernen Sie die Möglichkeit, das Hinzufügen von PAC-Signaturen zu deaktivieren, indem Sie den   KrbtgtFullPacSignature- Unterschlüssel auf den Wert 0 setzen.

Weitere Details zum Support-Artikel finden Sie hier ( KB5020805 ).