Microsoft aggiorna la roadmap di protezione avanzata di Windows DC di terza fase per la falla di sicurezza di Kerberos

A novembre, il secondo martedì del mese, Microsoft ha rilasciato il suo aggiornamento Patch Tuesday. Quello per i server ( KB5019081 ) ha risolto una vulnerabilità di elevazione dei privilegi di Windows Kerberos che consentiva agli attori delle minacce di alterare le firme PAC (Privilege Attribute Certificate) (tracciate con ID ” CVE-2022-37967 “). Microsoft ha consigliato di distribuire l’aggiornamento a tutti i dispositivi Windows, inclusi i controller di dominio.

Per facilitare la distribuzione, Microsoft ha pubblicato una guida. L’azienda ha riassunto la carne della questione come segue:

Gli aggiornamenti di Windows dell’8 novembre 2022 risolvono il bypass della sicurezza e l’elevazione delle vulnerabilità dei privilegi con le firme PAC (Privilege Attribute Certificate). Questo aggiornamento per la protezione risolve le vulnerabilità di Kerberos in cui un utente malintenzionato potrebbe alterare digitalmente le firme PAC, aumentandone i privilegi.

Per proteggere il tuo ambiente, installa questo aggiornamento di Windows su tutti i dispositivi, inclusi i controller di dominio Windows.

Alla fine del mese scorso, la società ha emesso un sollecito relativo alla terza fase di implementazione . Anche se doveva uscire con il Patch Tuesday di questo mese, Microsoft lo ha posticipato di un paio di mesi a giugno. L’aggiornamento sul centro messaggi del dashboard di Windows Health dice :

Il Patch Tuesday di giugno apporterà la seguente modifica al protocollo Kerberos:

Gli aggiornamenti di Windows rilasciati a partire dal 13 giugno 2023 eseguiranno le seguenti operazioni:

• Rimuovi la possibilità di disabilitare l’aggiunta della firma PAC impostando la   sottochiave KrbtgtFullPacSignature su un valore pari a 0.

È possibile trovare ulteriori dettagli sull’articolo di supporto qui ( KB5020805 ).