Microsoft soluciona los fallos del protocolo de validación de Kerberos PAC: CVE-2024-26248 y CVE-2024-29056

El martes 9 de abril de 2024, Microsoft lanzó las actualizaciones KB5036892 y KB5036893 para Windows 10 y 11, introduciendo algunas características nuevas y solucionando problemas conocidos.

Con esto, Microsoft también parchó un par de vulnerabilidades de seguridad de autenticación de Kerberos PAC rastreadas bajo CVE-2024-26248 y CVE-2024-29056.

Ambas vulnerabilidades son fallas de elevación de privilegios que eluden las comprobaciones de firmas de PAC implementadas previamente en KB5020805.

En el documento de soporte se menciona:

El documento menciona un punto importante: solo descargar e instalar las actualizaciones a partir del 9 de abril de 2024 no solucionará directamente los problemas de seguridad en CVE-2024-26248 y CVE-2024-29056 de forma predeterminada.

Una vez que el entorno esté completamente actualizado, deberá pasar al modo Forzado para mitigar por completo los problemas de seguridad de todos los dispositivos.

Esto significa que primero debe asegurarse de que los controladores y clientes de dominio de Windows estén actualizados con la actualización de seguridad publicada a partir del 9 de abril de 2024. A continuación, verifique el modo de compatibilidad para ver si los dispositivos están actualizados.

A continuación, habilite el modo Enforcement en su entorno para deshacerse de problemas de seguridad como CVE-2024-26248 y CVE-2024-29056.

Aquí están los detalles de los cambios que se avecinan.

Para conocer más detalles, puede revisar el documento de soporte de KB5037754 . ¿Has instalado el parche de seguridad lanzado el 9 de abril? De lo contrario, instálelo lo antes posible y asegúrese de que el modo Aplicación esté activado para solucionar estos problemas de seguridad.

9 de abril de 2024: Fase de implementación inicial – Modo de compatibilidad

La fase de implementación inicial comienza con las actualizaciones publicadas el 9 de abril de 2024. Esta actualización agrega un nuevo comportamiento que evita la elevación de vulnerabilidades de privilegios descritas en CVE-2024-26248 y CVE-2024-29056, pero no lo aplica a menos que ambos controladores de dominio de Windows y los clientes de Windows en el entorno se actualizan.

Para habilitar el nuevo comportamiento y mitigar las vulnerabilidades, debe asegurarse de que todo su entorno Windows (incluidos los controladores de dominio y los clientes) esté actualizado. Los eventos de auditoría se registrarán para ayudar a identificar los dispositivos no actualizados.

15 de octubre de 2024: Fase aplicada por defecto

Las actualizaciones publicadas a partir del 15 de octubre de 2024 moverán todos los controladores de dominio de Windows y los clientes del entorno al modo forzado cambiando la configuración de la subclave del registro a PacSignatureValidationLevel=3 y CrossDomainFilteringLevel=4, imponiendo el comportamiento seguro de forma predeterminada.

Un administrador puede anular la configuración aplicada de forma predeterminada para volver al modo de compatibilidad.

8 de abril de 2025: Fase de Ejecución

Las actualizaciones de seguridad de Windows publicadas a partir del 8 de abril de 2025 eliminarán la compatibilidad con las subclaves de registro PacSignatureValidationLevel y CrossDomainFilteringLevel y aplicarán el nuevo comportamiento seguro. No habrá soporte para el modo de compatibilidad después de instalar esta actualización.

Las actualizaciones de seguridad de Windows publicadas a partir del 9 de abril de 2024 abordan las vulnerabilidades de elevación de privilegios con el protocolo de validación Kerberos PAC . El Certificado de atributo de privilegio (PAC) es una extensión de los tickets de servicio de Kerberos. Contiene información sobre el usuario que se autentica y sus privilegios. Esta actualización corrige una vulnerabilidad en la que el usuario del proceso puede falsificar la firma para eludir las comprobaciones de seguridad de validación de firmas de PAC agregadas en KB5020805 .