Microsoft déploie le renforcement DC de troisième phase pour les failles de sécurité Kerberos et Netlogon

Hier était le deuxième mardi du mois et comme prévu, Microsoft a publié les mises à jour du Patch Tuesday sur Windows 10 ( KB5027215, entre autres ) et Windows 11 ( KB5027231 ). Les serveurs ont également reçu les mises à jour du Patch Tuesday et Microsoft a déployé la troisième phase du renforcement en cours du contrôleur de domaine (DC). Microsoft a rappelé aux utilisateurs et aux administrateurs ce changement à venir en mars .

Le renforcement vise à résoudre un contournement de sécurité et une élévation des vulnérabilités de privilège avec les signatures PAC (Privilege Attribute Certificate) dans les protocoles Netlogon et Kerberos. Sur son site de tableau de bord de santé Windows, la société a annoncé le déploiement. Il écrit :

Les versions de Windows du 8 novembre 2022 et ultérieures incluent des mises à jour de sécurité qui corrigent les vulnérabilités de sécurité affectant les contrôleurs de domaine Windows Server (DC). Ces protections suivent un calendrier de changement de durcissement et sont libérées par phases. Comme annoncé précédemment, les administrateurs doivent observer les modifications suivantes qui entrent en vigueur à la suite des mises à jour Windows publiées à compter du 13 juin 2023 :

Modifications du protocole Netlogon :

• 13 juin 2023 : l’application du protocole Netlogon utilisant le scellement RPC sera activée sur tous les contrôleurs de domaine et les connexions vulnérables provenant d’appareils non conformes seront bloquées. Il est encore possible de supprimer cette application, jusqu’en juillet 2023.
• 11 juillet 2023 : l’application complète du scellement RPC commencera et ne pourra pas être supprimée.

Modifications du protocole Kerberos :

• 13 juin 2023 : la possibilité de désactiver l’ajout de signature PAC ne sera plus disponible, et les contrôleurs de domaine avec la mise à jour de sécurité de novembre 2022 ou ultérieure auront des signatures ajoutées au tampon Kerberos PAC.
• 11 juillet 2023 : la vérification des signatures commencera et ne pourra être empêchée. Les connexions pour les signatures manquantes ou invalides continueront d’être autorisées (paramètre « Mode d’audit »), cependant, elles se verront refuser l’authentification à partir d’octobre 2023.

Vers la fin du mois d’avril, Microsoft a également publié une chronologie complète des changements à venir pour Netlogon, Kerberos et Azure Active Directory (AD) jusqu’en 2024 .