Microsoft ricorda che l’implementazione completa di Windows DC Kerberos Netlogon è imminente

Microsoft ha pubblicato oggi un promemoria sull’imminente fase di applicazione completa del rafforzamento di Windows Netlogon e Kerberos il mese prossimo. Le modifiche verranno implementate tramite il Patch Tuesday di ottobre 2023 che verrà rilasciato il 10 ottobre. La cronologia completa è disponibile in questo articolo dedicato .

La fase di distribuzione si è conclusa a giugno e un mese dopo, a luglio, tramite il Patch Tuesday mensile, è stata rilasciata la fase di applicazione iniziale:

Gli aggiornamenti di Windows rilasciati a partire dall’11 luglio 2023 eseguiranno le seguenti operazioni:

• Rimuove la possibilità di impostare il valore 1 per la sottochiave KrbtgtFullPacSignature.
• Sposta l’aggiornamento in modalità di applicazione (impostazione predefinita) (KrbtgtFullPacSignature = 3) che può essere sovrascritta da un amministratore con un’impostazione di controllo esplicita.

Nel caso in cui non ne fossi a conoscenza, questo rafforzamento ha lo scopo di risolvere un bypass di sicurezza e l’elevazione delle vulnerabilità dei privilegi con le firme PAC (Privilege Attribute Certificate) nei protocolli Netlogon e Kerberos (tracciati con ID “CVE-2022-37967”).

Sul sito web del dashboard della salute, il colosso della tecnologia scrive :

Promemoria: modifiche al rafforzamento della sicurezza per Netlogon e Kerberos in vigore dal 10 ottobre 2023

Gli aggiornamenti di Windows rilasciati l’8 novembre 2022 e versioni successive includono modifiche che risolvono le vulnerabilità della sicurezza che interessano i controller di dominio di Windows Server (DC). Tra le vulnerabilità affrontate c’è un bypass della sicurezza Kerberos e uno scenario di elevazione dei privilegi che comporta l’alterazione delle firme del Privilege Attribute Certificate (PAC). Le modifiche per risolvere questo problema sono state rilasciate dopo una serie di fasi nel corso del 2023 e raggiungeranno la fase finale di applicazione a ottobre.

Gli amministratori devono osservare le modifiche che incidono sui requisiti del protocollo Kerberos e che entreranno in vigore con gli aggiornamenti di Windows rilasciati a partire dal 10 ottobre 2023.

10 ottobre 2023 – Fase di piena applicazione

Gli aggiornamenti di Windows rilasciati a partire da questa data avranno il seguente effetto:

• Rimuovere la possibilità di disabilitare l’aggiunta della firma PAC (precedentemente eseguita tramite la sottochiave del registro KrbtgtFullPacSignature)
• Rimuovere il supporto per la modalità di controllo (questo abilitava l’autenticazione se le firme PAC erano mancanti o non valide e creava registri di controllo per la revisione).
• Nega l’autenticazione ai ticket di servizio in entrata senza le nuove firme PAC.

La fase sopra descritta è la fase finale di queste misure di rafforzamento della sicurezza.

Tutti gli account computer aggiunti a un dominio sono interessati da queste vulnerabilità.

Puoi trovare maggiori dettagli sull’argomento in questa pagina ( KB5020805 ) sul sito ufficiale di Microsoft.