Microsoft, Kerberos 보안 결함에 대한 3단계 Windows DC 강화 로드맵 업데이트

지난 11월 두 번째 화요일에 Microsoft는 패치 화요일 업데이트를 발표했습니다. 서버용( KB5019081 )은 공격자가 PAC(Privilege Attribute Certificate) 서명을 변경할 수 있도록 허용하는 Windows Kerberos 권한 상승 취약성을 해결했습니다(ID ” CVE-2022-37967 “로 추적됨). Microsoft는 도메인 컨트롤러를 포함한 모든 Windows 장치에 업데이트를 배포할 것을 권장했습니다.

배포를 돕기 위해 Microsoft는 지침을 게시했습니다. 회사는 문제의 핵심을 다음과 같이 요약했습니다.

2022년 11월 8일 Windows 업데이트는 PAC(권한 속성 인증서) 서명을 통해 보안 우회 및 권한 상승 취약성을 해결합니다. 이 보안 업데이트는 공격자가 PAC 서명을 디지털 방식으로 변경하여 권한을 높일 수 있는 Kerberos 취약성을 해결합니다.

환경을 보호하려면 Windows 도메인 컨트롤러를 포함한 모든 장치에 이 Windows 업데이트를 설치하십시오.

지난 달 말에 회사는 세 번째 배포 단계 에 대한 알림을 발행했습니다 . 이번 달 화요일 패치와 함께 출시될 예정이었지만 Microsoft는 이제 6월로 몇 달 뒤로 미뤘습니다. Windows 상태 대시보드 메시지 센터의 업데이트 내용은 다음과 같습니다 .

6월 패치 화요일은 Kerberos 프로토콜에 다음과 같은 강화 변경 사항을 적용합니다.

2023년 6월 13일 이후에 출시된 Windows 업데이트는 다음을 수행합니다.

• KrbtgtFullPacSignature 하위 키 값을 0으로 설정하여 PAC 서명 추가를 비활성화하는 기능을 제거합니다   .

여기( KB5020805 ) 에서 지원 문서에 대한 추가 세부 정보를 찾을 수 있습니다 .