Microsoft aktualisiert die dritte Phase der Windows DC-Härtungs-Roadmap für die Kerberos-Sicherheitslücke
Bereits im November, am zweiten Dienstag im Monat, veröffentlichte Microsoft sein Patch Tuesday-Update. Die Version für Server ( KB5019081 ) adressierte eine Windows-Kerberos-Schwachstelle zur Erhöhung von Berechtigungen, die es Angreifern ermöglichte, Privilege Attribute Certificate (PAC)-Signaturen zu ändern (verfolgt unter ID „ CVE-2022-37967 “). Microsoft hat empfohlen, das Update auf allen Windows-Geräten einschließlich Domänencontrollern bereitzustellen.
Um bei der Bereitstellung zu helfen, hat Microsoft Anleitungen veröffentlicht. Die Firma fasste die Sache wie folgt zusammen:
Die Windows-Updates vom 8. November 2022 beheben Schwachstellen bei der Sicherheitsumgehung und Erhöhung von Berechtigungen mit Signaturen von Privilege Attribute Certificate (PAC). Dieses Sicherheitsupdate behebt Kerberos-Schwachstellen, bei denen ein Angreifer PAC-Signaturen digital ändern und so seine Berechtigungen erhöhen könnte.
Um Ihre Umgebung zu schützen, installieren Sie dieses Windows-Update auf allen Geräten, einschließlich Windows-Domänencontrollern.
Ende letzten Monats hat das Unternehmen eine Mahnung bezüglich der dritten Bereitstellungsphase herausgegeben . Während es mit dem Patch Tuesday in diesem Monat erscheinen sollte, hat Microsoft es nun um ein paar Monate auf Juni verschoben. Das Update im Message Center des Windows Health-Dashboards sagt :
Der Juni-Patchday wird die folgende Härtungsänderung am Kerberos-Protokoll vornehmen:
Die am oder nach dem 13. Juni 2023 veröffentlichten Windows-Updates bewirken Folgendes:
- Entfernen Sie die Möglichkeit, das Hinzufügen von PAC-Signaturen zu deaktivieren, indem Sie den KrbtgtFullPacSignature- Unterschlüssel auf den Wert 0 setzen.
Weitere Details zum Support-Artikel finden Sie hier ( KB5020805 ).
Schreibe einen Kommentar