Microsoft rappelle l’application complète de Windows DC Kerberos Netlogon à venir

Microsoft a publié aujourd’hui un rappel concernant la prochaine phase d’application complète du renforcement de Windows Netlogon et Kerberos le mois prochain. Les changements seront déployés via le Patch Tuesday d’octobre 2023 qui sortira le 10 octobre. La chronologie complète est disponible dans cet article dédié .

La phase de déploiement s’est terminée en juin et un mois plus tard, en juillet, via le Patch Tuesday mensuel, la phase d’application initiale a été publiée :

Les mises à jour Windows publiées à compter du 11 juillet 2023 effectueront les opérations suivantes :

• Supprime la possibilité de définir la valeur 1 pour la sous-clé KrbtgtFullPacSignature.
• Déplace la mise à jour en mode d’application (par défaut) (KrbtgtFullPacSignature = 3) qui peut être remplacé par un administrateur avec un paramètre d’audit explicite.

Au cas où vous ne le sauriez pas, ce renforcement vise à résoudre un contournement de sécurité et une élévation des vulnérabilités de privilèges avec les signatures Privilege Attribute Certificate (PAC) dans les protocoles Netlogon et Kerberos (suivi sous l’ID « CVE-2022-37967 »).

Sur son site internet de tableau de bord santé, le géant de la tech écrit :

Rappel : modifications de renforcement de la sécurité pour Netlogon et Kerberos à compter du 10 octobre 2023

Les mises à jour Windows publiées à partir du 8 novembre 2022 incluent des modifications qui corrigent les vulnérabilités de sécurité affectant les contrôleurs de domaine (DC) Windows Server. Parmi les vulnérabilités corrigées figure un scénario de contournement de la sécurité Kerberos et d’élévation des privilèges impliquant une modification des signatures du certificat d’attribut de privilège (PAC). Les modifications visant à résoudre ce problème ont été publiées après une série de phases tout au long de 2023 et atteindront la phase finale d’application en octobre.

Les administrateurs doivent observer les changements qui affectent les exigences du protocole Kerberos et qui entreront en vigueur avec les mises à jour Windows publiées à partir du 10 octobre 2023.

10 octobre 2023 – Phase d’application complète

Les mises à jour Windows publiées à partir de cette date auront l’effet suivant :

• Supprimez la possibilité de désactiver l’ajout de signature PAC (précédemment effectué via la sous-clé de registre KrbtgtFullPacSignature)
• Supprimez la prise en charge du mode Audit (cela permettait l’authentification si les signatures PAC étaient manquantes ou invalides, et créait des journaux d’audit pour examen).
• Refusez l’authentification des tickets de service entrants sans les nouvelles signatures PAC.

La phase décrite ci-dessus est la phase finale de ces mesures de renforcement de la sécurité.

Tous les comptes de machine joints à un domaine sont affectés par ces vulnérabilités.

Vous pouvez trouver plus de détails sur le sujet sur cette page ( KB5020805 ) sur le site officiel de Microsoft.