Microsoft actualiza la hoja de ruta de refuerzo de Windows DC de tercera fase para la falla de seguridad de Kerberos

En noviembre, el segundo martes del mes, Microsoft lanzó su actualización Patch Tuesday. El de los servidores ( KB5019081 ) abordó una vulnerabilidad de elevación de privilegios de Windows Kerberos que permitía a los actores de amenazas alterar las firmas del Certificado de atributo de privilegio (PAC) (rastreadas con el ID » CVE-2022-37967 «). Microsoft recomendó implementar la actualización en todos los dispositivos Windows, incluidos los controladores de dominio.

Para ayudar con la implementación, Microsoft publicó una guía. La firma resumió el meollo del asunto de la siguiente manera:

Las actualizaciones de Windows del 8 de noviembre de 2022 abordan la omisión de seguridad y la elevación de vulnerabilidades de privilegios con firmas de Certificado de atributo de privilegio (PAC). Esta actualización de seguridad soluciona las vulnerabilidades de Kerberos en las que un atacante podría alterar digitalmente las firmas de PAC y aumentar sus privilegios.

Para ayudar a proteger su entorno, instale esta actualización de Windows en todos los dispositivos, incluidos los controladores de dominio de Windows.

A fines del mes pasado, la compañía emitió un recordatorio sobre la tercera fase de implementación . Si bien se suponía que saldría con el martes de parches de este mes, Microsoft ahora lo retrasó un par de meses hasta junio. La actualización en el centro de mensajes del panel de Windows Health dice :

El martes de parches de junio realizará el siguiente cambio de refuerzo en el protocolo Kerberos:

Las actualizaciones de Windows lanzadas a partir del 13 de junio de 2023 harán lo siguiente:

• Elimine la capacidad de deshabilitar la adición de firmas PAC configurando la   subclave KrbtgtFullPacSignature en un valor de 0.

Puede encontrar detalles adicionales en el artículo de soporte aquí ( KB5020805 ).