Microsoft recuerda la aplicación total de Kerberos Netlogon de Windows DC que se avecina

Microsoft ha publicado hoy un recordatorio sobre la próxima fase de aplicación total de Windows Netlogon y el endurecimiento de Kerberos el próximo mes. Los cambios se implementarán a través del martes de parches de octubre de 2023, que se lanzará el 10 de octubre. La cronología completa está disponible en este artículo dedicado .

La fase de implementación terminó en junio y un mes después, en julio, a través del martes de parches mensual, se lanzó la fase de aplicación inicial:

Las actualizaciones de Windows publicadas a partir del 11 de julio de 2023 harán lo siguiente:

• Elimina la capacidad de establecer el valor 1 para la subclave KrbtgtFullPacSignature.
• Mueve la actualización al modo de aplicación (predeterminado) (KrbtgtFullPacSignature = 3), que un administrador puede anular con una configuración de auditoría explícita.

En caso de que no lo sepa, este refuerzo tiene como objetivo abordar una elusión de seguridad y la elevación de vulnerabilidades de privilegios con firmas de Certificado de Atributo de Privilegio (PAC) en los protocolos Netlogon y Kerberos (rastreados con el ID “CVE-2022-37967”).

En su sitio web de panel de salud, el gigante tecnológico escribe :

Recordatorio: cambios en el refuerzo de seguridad para Netlogon y Kerberos a partir del 10 de octubre de 2023

Las actualizaciones de Windows lanzadas el 8 de noviembre de 2022 y posteriores incluyen cambios que abordan las vulnerabilidades de seguridad que afectan a los controladores de dominio (DC) de Windows Server. Entre las vulnerabilidades abordadas se encuentra un escenario de elusión de seguridad de Kerberos y elevación de privilegios que involucra la alteración de las firmas del Certificado de Atributo de Privilegio (PAC). Los cambios para abordar este problema se publicaron luego de una serie de fases a lo largo de 2023 y llegarán a la etapa final de aplicación en octubre.

Los administradores deben observar los cambios que afectan los requisitos del protocolo Kerberos y que entrarán en vigor con las actualizaciones de Windows publicadas a partir del 10 de octubre de 2023.

10 de octubre de 2023 – Fase de aplicación total

Las actualizaciones de Windows publicadas a partir de esta fecha tendrán el siguiente efecto:

• Elimine la capacidad de deshabilitar la adición de firma PAC (anteriormente realizada a través de la subclave de registro KrbtgtFullPacSignature)
• Se eliminó la compatibilidad con el modo de auditoría (esto permitió la autenticación si faltaban firmas de PAC o no eran válidas, y creó registros de auditoría para su revisión).
• Deniegue la autenticación a los tickets de servicio entrantes sin las nuevas firmas de PAC.

La fase descrita anteriormente es la fase final de estas medidas de refuerzo de seguridad.

Todas las cuentas de máquina unidas a un dominio se ven afectadas por estas vulnerabilidades.

Puede encontrar más detalles sobre el tema en esta página ( KB5020805 ) en el sitio web oficial de Microsoft.