Microsoft는 Kerberos PAC 검증 프로토콜 결함을 해결합니다: CVE-2024-26248 및 CVE-2024-29056

2024년 4월 9일 화요일에 Microsoft는 몇 가지 새로운 기능을 도입하고 알려진 문제를 해결하는 Windows 10 및 11용 업데이트 KB5036892 및 KB5036893을 출시했습니다.

이를 통해 Microsoft는 CVE-2024-26248 및 CVE-2024-29056으로 추적된 몇 가지 Kerberos PAC 인증 보안 취약점도 패치했습니다.

이 두 취약점은 모두 이전에 KB5020805에서 구현된 PAC 서명 확인을 우회하는 권한 상승 결함입니다.

지원 문서에는 다음과 같이 언급되어 있습니다.

이 문서에는 중요한 사항이 언급되어 있습니다. 2024년 4월 9일 이후의 업데이트만 다운로드하고 설치하면 기본적으로 CVE-2024-26248 및 CVE-2024-29056 의 보안 문제가 직접 해결되지 않습니다.

환경이 완전히 업데이트되면 모든 장치의 보안 문제를 완전히 완화하려면 적용 모드로 전환해야 합니다.

즉, 먼저 Windows 도메인 컨트롤러와 클라이언트가 2024년 4월 9일 이후에 릴리스된 보안 업데이트로 업데이트되었는지 확인해야 합니다. 그런 다음 호환성 모드를 확인하여 장치가 업데이트되었는지 확인하세요.

다음으로, CVE-2024-26248 및 CVE-2024-29056과 같은 보안 문제를 제거하려면 환경에서 시행 모드를 활성화하세요.

앞으로 변경될 세부사항은 다음과 같습니다.

자세한 내용을 알아보려면 KB5037754 에 대한 지원 문서를 검토하세요 . 4월 9일에 발표된 보안패치를 설치하셨나요? 그렇지 않은 경우 가능한 한 빨리 설치하고 시행 모드가 켜져 있는지 확인하여 이러한 보안 문제를 해결하십시오.

2024년 4월 9일: 초기 배포 단계 – 호환 모드

초기 배포 단계는 2024년 4월 9일에 릴리스된 업데이트로 시작됩니다. 이 업데이트는 CVE-2024-26248 및 CVE-2024-29056에 설명된 권한 상승 취약성을 방지하는 새로운 동작을 추가하지만 두 Windows 도메인 컨트롤러가 모두 실행되지 않는 한 이를 시행하지 않습니다. 환경의 Windows 클라이언트가 업데이트됩니다.

새로운 동작을 활성화하고 취약성을 완화하려면 전체 Windows 환경(도메인 컨트롤러와 클라이언트 포함)이 업데이트되었는지 확인해야 합니다. 업데이트되지 않은 장치를 식별하는 데 도움이 되도록 감사 이벤트가 기록됩니다.

2024년 10월 15일: 기본 단계로 시행

2024년 10월 15일 이후에 릴리스된 업데이트는 레지스트리 하위 키 설정을 PacSignatureValidationLevel=3 및 CrossDomainFilteringLevel=4로 변경하여 기본적으로 보안 동작을 적용함으로써 환경의 모든 Windows 도메인 컨트롤러 및 클라이언트를 적용 모드로 이동합니다.

관리자는 기본적으로 적용 설정을 재정의하여 호환 모드로 되돌릴 수 있습니다.

2025년 4월 8일: 시행 단계

2025년 4월 8일 이후에 출시된 Windows 보안 업데이트는 레지스트리 하위 키 PacSignatureValidationLevel 및 CrossDomainFilteringLevel에 대한 지원을 제거하고 새로운 보안 동작을 시행합니다. 이 업데이트를 설치한 후에는 호환성 모드가 지원되지 않습니다.

2024년 4월 9일 이후에 출시된 Windows 보안 업데이트는 Kerberos PAC 유효성 검사 프로토콜 의 권한 상승 취약성을 해결합니다 . PAC(Privilege Attribute Certificate)는 Kerberos 서비스 티켓의 확장입니다. 여기에는 인증하는 사용자와 해당 권한에 대한 정보가 포함되어 있습니다. 이 업데이트는 프로세스 사용자가 KB5020805 에 추가된 PAC 서명 유효성 검사 보안 검사를 우회하기 위해 서명을 스푸핑할 수 있는 취약성을 수정합니다 .