Microsoft werkt derde fase Windows DC-verhardingsroutekaart bij voor Kerberos-beveiligingslek

In november, op de tweede dinsdag van de maand, bracht Microsoft de Patch Tuesday-update uit. Die voor servers ( KB5019081 ) loste een kwetsbaarheid voor misbruik van bevoegdheden in Windows Kerberos op waardoor bedreigingsactoren de handtekeningen van Privilege Attribute Certificate (PAC) konden wijzigen (gevolgd onder ID ” CVE-2022-37967 “). Microsoft raadde aan de update te implementeren op alle Windows-apparaten, inclusief domeincontrollers.

Om te helpen bij de implementatie heeft Microsoft richtlijnen gepubliceerd. Het bedrijf vatte het vlees van de zaak als volgt samen:

De Windows-updates van 8 november 2022 pakken beveiligingsproblemen en misbruik van bevoegdheden aan met Privilege Attribute Certificate (PAC)-handtekeningen. Deze beveiligingsupdate verhelpt Kerberos-kwetsbaarheden waarbij een aanvaller PAC-handtekeningen digitaal kon wijzigen, waardoor hun rechten werden verhoogd.

Installeer deze Windows-update op alle apparaten, inclusief Windows-domeincontrollers, om uw omgeving beter te beveiligen.

Eind vorige maand stuurde het bedrijf een herinnering rond de derde implementatiefase . Hoewel het met de Patch Tuesday van deze maand zou uitkomen, heeft Microsoft het nu een paar maanden uitgesteld tot juni. De update op het berichtencentrum van het Windows Health-dashboard zegt :

De patch-dinsdag van juni brengt de volgende verhardende wijziging aan in het Kerberos-protocol:

De Windows-updates die op of na 13 juni 2023 zijn uitgebracht, doen het volgende:

• Verwijder de mogelijkheid om het toevoegen van PAC-handtekeningen uit te schakelen door de   subsleutel KrbtgtFullPacSignature in te stellen op de waarde 0.

Mogelijk vindt u hier meer informatie over het ondersteuningsartikel ( KB5020805 ).