Microsoft rolt derde fase DC-hardening uit voor Kerberos- en Netlogon-beveiligingslek

Gisteren was de tweede dinsdag van de maand en zoals verwacht heeft Microsoft Patch Tuesday-updates uitgebracht voor Windows 10 ( onder andere KB5027215 ) en Windows 11 ( KB5027231 ). Servers ontvingen ook Patch Tuesday-updates en Microsoft rolde de derde fase van de lopende domeincontroller (DC)-hardening uit. Microsoft herinnerde gebruikers en beheerders in maart aan deze aanstaande wijziging .

De verharding is bedoeld om een ​​beveiligingsomzeiling en misbruik van bevoegdheden aan te pakken met Privilege Attribute Certificate (PAC)-handtekeningen in de Netlogon- en Kerberos-protocollen. Op zijn Windows Health Dashboard-site heeft het bedrijf de uitrol aangekondigd. Het schrijft :

De Windows-releases van 8 november 2022 en later bevatten beveiligingsupdates die beveiligingsproblemen verhelpen die van invloed zijn op Windows Server-domeincontrollers (DC). Deze beveiligingen volgen een harde wijzigingskalender en worden gefaseerd vrijgegeven. Zoals eerder aangekondigd, moeten beheerders de volgende wijzigingen in acht nemen die van kracht worden na Windows-updates die op en na 13 juni 2023 zijn uitgebracht:

Netlogon-protocolwijzigingen :

• 13 juni 2023 : handhaving voor het Netlogon-protocol met behulp van RPC-afdichting wordt ingeschakeld op alle domeincontrollers en kwetsbare verbindingen van niet-compatibele apparaten worden geblokkeerd. Het is nog mogelijk om deze handhaving op te heffen, tot juli 2023.
• 11 juli 2023 : volledige handhaving van RPC-afdichting begint en kan niet worden verwijderd.

Veranderingen in het Kerberos-protocol :

• 13 juni: 2023 : de mogelijkheid om het toevoegen van PAC-handtekeningen uit te schakelen, is niet langer beschikbaar, en op domeincontrollers met de beveiligingsupdate van november 2022 of later worden handtekeningen toegevoegd aan de Kerberos PAC-buffer.
• 11 juli 2023 : verificatie van handtekening begint en kan niet worden voorkomen. Verbindingen voor ontbrekende of ongeldige handtekeningen blijven toegestaan ​​(instelling “Auditmodus”), maar authenticatie wordt vanaf oktober 2023 geweigerd.

Eind april publiceerde Microsoft ook een volledige tijdlijn van de komende wijzigingen voor Netlogon, Kerberos en Azure Active Directory (AD) tot 2024 .