Firma Microsoft usuwa wady protokołu Kerberos PAC Validation Protocol: CVE-2024-26248 i CVE-2024-29056

We wtorek 9 kwietnia 2024 firma Microsoft wydała aktualizacje KB5036892 i KB5036893 dla Windows 10 i 11, wprowadzające kilka nowych funkcji i naprawiające znane problemy.

Dzięki nim Microsoft załatał także kilka luk w zabezpieczeniach uwierzytelniania Kerberos PAC, zidentyfikowanych pod CVE-2024-26248 i CVE-2024-29056.

Obie te luki to błędy w podnoszeniu uprawnień, które omijają sprawdzanie podpisów PAC zaimplementowane wcześniej w KB5020805.

W dokumencie pomocniczym jest mowa o:

W dokumencie wspomniano o ważnym punkcie: samo pobranie i zainstalowanie aktualizacji 9 kwietnia 2024 r. lub później nie rozwiąże bezpośrednio problemów związanych z bezpieczeństwem w CVE-2024-26248 i CVE-2024-29056 .

Po pełnej aktualizacji środowiska należy przejść do trybu wymuszonego, aby w pełni złagodzić problemy związane z bezpieczeństwem wszystkich urządzeń.

Oznacza to, że najpierw musisz upewnić się, że kontrolery domeny i klienci systemu Windows są zaktualizowane aktualizacją zabezpieczeń wydaną 9 kwietnia 2024 r. lub później. Następnie sprawdź tryb zgodności, aby sprawdzić, czy urządzenia zostały zaktualizowane.

Następnie włącz tryb wymuszania w swoim środowisku, aby pozbyć się problemów związanych z bezpieczeństwem, takich jak CVE-2024-26248 i CVE-2024-29056.

Oto szczegóły nadchodzących zmian

Aby dowiedzieć się więcej szczegółów, zapoznaj się z dokumentem pomocy technicznej dla KB5037754 . Czy zainstalowałeś poprawkę zabezpieczeń wydaną 9 kwietnia? Jeśli nie, zainstaluj go jak najszybciej i upewnij się, że tryb egzekwowania jest włączony, aby rozwiązać te problemy z bezpieczeństwem.

9 kwietnia 2024 r.: Faza wstępnego wdrożenia – tryb zgodności

Początkowa faza wdrażania rozpoczyna się od aktualizacji wydanych 9 kwietnia 2024 r. Ta aktualizacja dodaje nowe zachowanie, które zapobiega lukom w zabezpieczeniach umożliwiających podniesienie uprawnień opisanym w CVE-2024-26248 i CVE-2024-29056, ale nie wymusza tego, chyba że oba kontrolery domeny Windows i klienci Windows w środowisku są aktualizowani.

Aby włączyć nowe zachowanie i złagodzić luki, musisz upewnić się, że całe środowisko Windows (w tym zarówno kontrolery domeny, jak i klienci) zostało zaktualizowane. Zdarzenia inspekcji będą rejestrowane, aby pomóc zidentyfikować urządzenia, które nie zostały zaktualizowane.

15 października 2024 r.: Wymuszone w fazie domyślnej

Aktualizacje wydane 15 października 2024 r. lub później przeniosą wszystkie kontrolery domeny i klientów systemu Windows w środowisku do trybu wymuszonego, zmieniając ustawienia podklucza rejestru na PacSignatureValidationLevel=3 i CrossDomainFilteringLevel=4, domyślnie wymuszając bezpieczne zachowanie.

Administrator może zastąpić ustawienia Wymuszone domyślnie, aby powrócić do trybu zgodności.

8 kwietnia 2025 r.: Faza egzekwowania

Aktualizacje zabezpieczeń systemu Windows wydane 8 kwietnia 2025 r. lub później usuną obsługę podkluczy rejestru PacSignatureValidationLevel i CrossDomainFilteringLevel oraz wymuszą nowe bezpieczne zachowanie. Po zainstalowaniu tej aktualizacji tryb zgodności nie będzie obsługiwany.

Aktualizacje zabezpieczeń systemu Windows wydane 9 kwietnia 2024 r. lub później usuwają luki w zabezpieczeniach umożliwiające podniesienie uprawnień za pomocą protokołu sprawdzania poprawności Kerberos PAC . Certyfikat atrybutu przywileju (PAC) jest rozszerzeniem biletów usługi Kerberos. Zawiera informacje o użytkowniku uwierzytelniającym i jego uprawnieniach. Ta aktualizacja naprawia lukę, w wyniku której użytkownik procesu może sfałszować podpis w celu ominięcia kontroli zabezpieczeń w zakresie sprawdzania poprawności podpisu PAC dodanej w aktualizacji KB5020805 .