Microsoft herinnert aan de volledige handhaving van Windows DC Kerberos Netlogon die eraan komt

Microsoft heeft vandaag een herinnering gepubliceerd over de aankomende fase van volledige handhaving van Windows Netlogon en Kerberos die volgende maand verhardt. De wijzigingen worden geïmplementeerd via de Patch Tuesday van oktober 2023, die op 10 oktober wordt uitgebracht. De volledige tijdlijn is beschikbaar in dit speciale artikel .

De implementatiefase eindigde in juni en een maand later, in juli, werd via de maandelijkse Patch Tuesday de eerste handhavingsfase vrijgegeven:

De Windows-updates die op of na 11 juli 2023 zijn uitgebracht, doen het volgende:

• Verwijdert de mogelijkheid om waarde 1 in te stellen voor de subsleutel KrbtgtFullPacSignature.
• Verplaatst de update naar de handhavingsmodus (standaard) (KrbtgtFullPacSignature = 3), die kan worden overschreven door een beheerder met een expliciete auditinstelling.

Voor het geval u het niet weet: deze verharding is bedoeld om een ​​beveiligingsomzeiling en misbruik van bevoegdheden aan te pakken met handtekeningen van Privilege Attribute Certificate (PAC) in de Netlogon- en Kerberos-protocollen (bijgehouden onder ID “CVE-2022-37967”).

Op zijn gezondheidsdashboardwebsite schrijft de technologiegigant :

Herinnering: Wijzigingen in de beveiliging voor Netlogon en Kerberos zijn van kracht vanaf 10 oktober 2023

Windows-updates van 8 november 2022 en later bevatten wijzigingen die beveiligingsproblemen aanpakken die van invloed zijn op Windows Server-domeincontrollers (DC). Een van de aangepakte kwetsbaarheden is een Kerberos-beveiligingsbypass en een scenario voor misbruik van bevoegdheden, waarbij de handtekeningen van het Privilege Attribute Certificate (PAC) worden gewijzigd. Wijzigingen om dit probleem aan te pakken zijn na een reeks fasen in 2023 vrijgegeven en bereiken in oktober de laatste fase van handhaving.

Beheerders moeten wijzigingen in acht nemen die van invloed zijn op de Kerberos-protocolvereisten en die van kracht worden met de Windows-updates die op en na 10 oktober 2023 zijn uitgebracht.

10 oktober 2023 – Volledige handhavingsfase

Windows-updates die op en na deze datum zijn uitgebracht, hebben het volgende effect:

• Verwijder de mogelijkheid om het toevoegen van PAC-handtekeningen uit te schakelen (voorheen gedaan via de registersubsleutel KrbtgtFullPacSignature)
• Ondersteuning voor de auditmodus verwijderd (hierdoor werd authenticatie mogelijk gemaakt of PAC-handtekeningen ontbraken of ongeldig waren, en werden er auditlogboeken gemaakt ter beoordeling).
• Weiger authenticatie voor inkomende servicetickets zonder de nieuwe PAC-handtekeningen.

De hierboven beschreven fase is de laatste fase van deze veiligheidsverscherpende maatregelen.

Alle machineaccounts die lid zijn van een domein worden getroffen door deze kwetsbaarheden.

Meer details over dit onderwerp vindt u op deze pagina ( KB5020805 ) op de officiële website van Microsoft.