Microsoft implementa el endurecimiento de DC de tercera fase para la falla de seguridad de Kerberos y Netlogon

Ayer fue el segundo martes del mes y, como se esperaba, Microsoft lanzó actualizaciones de Patch Tuesday en Windows 10 ( KB5027215, entre otros ) y Windows 11 ( KB5027231 ). Los servidores también recibieron actualizaciones de Patch Tuesday y Microsoft implementó la tercera fase del refuerzo continuo del controlador de dominio (DC). Microsoft recordó a los usuarios y administradores sobre este próximo cambio en marzo .

El endurecimiento está destinado a abordar una omisión de seguridad y la elevación de vulnerabilidades de privilegios con firmas de Certificado de atributo de privilegio (PAC) en los protocolos Netlogon y Kerberos. En su sitio de panel de salud de Windows, la compañía ha anunciado el lanzamiento. Escribe : _

Las versiones de Windows del 8 de noviembre de 2022 y posteriores incluyen actualizaciones de seguridad que abordan las vulnerabilidades de seguridad que afectan a los controladores de dominio (DC) de Windows Server. Estas protecciones siguen un calendario de cambios de endurecimiento y se lanzan en fases. Como se anunció anteriormente, los administradores deben observar los siguientes cambios que entrarán en vigencia luego de las actualizaciones de Windows lanzadas a partir del 13 de junio de 2023:

Cambios en el protocolo Netlogon :

• 13 de junio de 2023 : se habilitará la aplicación del protocolo Netlogon mediante sellado RPC en todos los controladores de dominio y se bloquearán las conexiones vulnerables de los dispositivos no compatibles. Todavía es posible eliminar esta aplicación, hasta julio de 2023.
• 11 de julio de 2023 : comenzará la aplicación total del sellado RPC y no se podrá eliminar.

Cambios en el protocolo Kerberos :

• 13 de junio de 2023 : la capacidad de deshabilitar la adición de firmas PAC ya no estará disponible, y los controladores de dominio con la actualización de seguridad de noviembre de 2022 o posterior tendrán firmas agregadas al búfer Kerberos PAC.
• 11 de julio de 2023 : la verificación de la firma comenzará y no se puede evitar. Las conexiones para firmas faltantes o no válidas seguirán estando permitidas (configuración “Modo de auditoría”), sin embargo, se les negará la autenticación a partir de octubre de 2023.

Hacia fines de abril, Microsoft también publicó una cronología completa de los próximos cambios para Netlogon, Kerberos y Azure Active Directory (AD) hasta 2024 .