Microsoft risolve i difetti del protocollo di convalida PAC Kerberos: CVE-2024-26248 e CVE-2024-29056

Martedì 9 aprile 2024, Microsoft ha rilasciato gli aggiornamenti KB5036892 e KB5036893 per Windows 10 e 11, introducendo alcune nuove funzionalità e risolvendo problemi noti.

Con questi, Microsoft ha anche corretto un paio di vulnerabilità di sicurezza dell’autenticazione PAC Kerberos tracciate in CVE-2024-26248 e CVE-2024-29056.

Entrambe queste vulnerabilità sono difetti di elevazione dei privilegi che eludono i controlli della firma PAC precedentemente implementati in KB5020805.

Nel documento di supporto si menziona:

Il documento menziona un punto importante: solo il download e l’installazione degli aggiornamenti a partire dal 9 aprile 2024 non risolveranno direttamente i problemi di sicurezza in CVE-2024-26248 e CVE-2024-29056 per impostazione predefinita.

Una volta aggiornato completamente l’ambiente, è necessario passare alla modalità Forzata per mitigare completamente i problemi di sicurezza per tutti i dispositivi.

Ciò significa che devi prima assicurarti che i controller di dominio e i client Windows siano aggiornati con l’aggiornamento della sicurezza rilasciato a partire dal 9 aprile 2024. Successivamente, controlla la modalità di compatibilità per vedere se i dispositivi sono aggiornati.

Successivamente, abilita la modalità di applicazione nel tuo ambiente per eliminare problemi di sicurezza come CVE-2024-26248 e CVE-2024-29056.

Ecco i dettagli dei cambiamenti futuri

Per ulteriori dettagli, puoi consultare il documento di supporto per KB5037754 . Hai installato la patch di sicurezza rilasciata il 9 aprile? In caso contrario, installalo il prima possibile e assicurati che la modalità di applicazione sia attiva per risolvere questi problemi di sicurezza.

9 aprile 2024: Fase di distribuzione iniziale – Modalità di compatibilità

La fase di distribuzione iniziale inizia con gli aggiornamenti rilasciati il ​​9 aprile 2024. Questo aggiornamento aggiunge un nuovo comportamento che impedisce l’elevazione delle vulnerabilità dei privilegi descritte in CVE-2024-26248 e CVE-2024-29056 ma non lo applica a meno che entrambi i controller di dominio Windows e i client Windows nell’ambiente vengono aggiornati.

Per abilitare il nuovo comportamento e mitigare le vulnerabilità, devi assicurarti che l’intero ambiente Windows (inclusi sia i controller di dominio che i client) sia aggiornato. Gli eventi di controllo verranno registrati per aiutare a identificare i dispositivi non aggiornati.

15 ottobre 2024: applicazione della fase predefinita

Gli aggiornamenti rilasciati a partire dal 15 ottobre 2024 sposteranno tutti i controller di dominio e i client Windows nell’ambiente in modalità applicata modificando le impostazioni della sottochiave del registro in PacSignatureValidationLevel=3 e CrossDomainFilteringLevel=4, applicando il comportamento sicuro per impostazione predefinita.

Le impostazioni Imposte per impostazione predefinita possono essere sovrascritte da un amministratore per ripristinare la modalità di compatibilità.

8 aprile 2025: fase di applicazione

Gli aggiornamenti di sicurezza di Windows rilasciati a partire dall’8 aprile 2025 rimuoveranno il supporto per le sottochiavi del registro PacSignatureValidationLevel e CrossDomainFilteringLevel e applicheranno il nuovo comportamento sicuro. Non sarà disponibile alcun supporto per la modalità compatibilità dopo l’installazione di questo aggiornamento.

Gli aggiornamenti di sicurezza di Windows rilasciati a partire dal 9 aprile 2024 risolvono le vulnerabilità legate all’elevazione dei privilegi con il protocollo di convalida PAC Kerberos . Il Privilege Attribute Certificate (PAC) è un’estensione dei ticket di servizio Kerberos. Contiene informazioni sull’utente autenticato e sui suoi privilegi. Questo aggiornamento risolve una vulnerabilità a causa della quale l’utente del processo può falsificare la firma per aggirare i controlli di sicurezza di convalida della firma PAC aggiunti in KB5020805 .