Microsoft implementa l’hardening DC di terza fase per il difetto di sicurezza di Kerberos e Netlogon

Ieri era il secondo martedì del mese e, come previsto, Microsoft ha rilasciato gli aggiornamenti Patch Tuesday su Windows 10 ( KB5027215, tra gli altri ) e Windows 11 ( KB5027231 ). Anche i server hanno ricevuto gli aggiornamenti del Patch Tuesday e Microsoft ha implementato la terza fase della protezione avanzata dei controller di dominio (DC) in corso. Microsoft ha ricordato a utenti e amministratori questo cambiamento imminente a marzo .

L’indurimento ha lo scopo di affrontare un bypass di sicurezza e l’elevazione delle vulnerabilità dei privilegi con le firme PAC (Privilege Attribute Certificate) nei protocolli Netlogon e Kerberos. Sul sito del dashboard sulla salute di Windows, la società ha annunciato il lancio. Scrive : _

Le versioni di Windows dell’8 novembre 2022 e successive includono aggiornamenti della sicurezza che risolvono le vulnerabilità della sicurezza che interessano i controller di dominio (DC) di Windows Server. Queste protezioni seguono un calendario di modifiche di rafforzamento e vengono rilasciate in più fasi. Come annunciato in precedenza, gli amministratori devono osservare le seguenti modifiche che entreranno in vigore dopo gli aggiornamenti di Windows rilasciati a partire dal 13 giugno 2023:

Modifiche al protocollo di accesso alla rete :

• 13 giugno 2023 : l’applicazione del protocollo Netlogon tramite il sigillo RPC verrà abilitata su tutti i controller di dominio e le connessioni vulnerabili da dispositivi non conformi verranno bloccate. È ancora possibile rimuovere questa imposizione, fino a luglio 2023.
• 11 luglio 2023 : inizierà la piena applicazione della sigillatura RPC e non potrà essere rimossa.

Modifiche al protocollo Kerberos :

• 13 giugno: 2023 : la possibilità di disabilitare l’aggiunta della firma PAC non sarà più disponibile e i controller di dominio con l’aggiornamento della sicurezza di novembre 2022 o successivo avranno le firme aggiunte al Kerberos PAC Buffer.
• 11 luglio 2023 : la verifica della firma inizierà e non può essere impedita. Le connessioni per firme mancanti o non valide continueranno a essere consentite (impostazione “Modalità di controllo”), tuttavia a partire da ottobre 2023 verrà loro negata l’autenticazione.

Verso la fine di aprile, Microsoft ha anche pubblicato una cronologia completa delle imminenti modifiche per Netlogon, Kerberos e Azure Active Directory (AD) fino al 2024 .