Microsoft aktualizuje trzecią fazę planu utwardzania systemu Windows DC pod kątem luki w zabezpieczeniach protokołu Kerberos

W listopadzie, w drugi wtorek miesiąca, Microsoft udostępnił aktualizację Patch Tuesday. Ten dla serwerów ( KB5019081 ) dotyczył luki w zabezpieczeniach Windows Kerberos umożliwiającej podniesienie uprawnień, która umożliwiła atakującym zmianę podpisów certyfikatu atrybutu uprawnień (PAC) (śledzonego pod identyfikatorem „ CVE-2022-37967 ”). Firma Microsoft zaleciła wdrożenie aktualizacji na wszystkich urządzeniach z systemem Windows, w tym na kontrolerach domeny.

Aby pomóc we wdrożeniu, firma Microsoft opublikowała wskazówki. Firma podsumowała istotę sprawy w następujący sposób:

Aktualizacje systemu Windows z 8 listopada 2022 r. rozwiązują luki w zabezpieczeniach związane z obejściem zabezpieczeń i podniesieniem uprawnień za pomocą podpisów certyfikatu atrybutu uprawnień (PAC). Ta aktualizacja zabezpieczeń usuwa luki w zabezpieczeniach protokołu Kerberos, w których osoba atakująca może cyfrowo zmienić podpisy PAC, podnosząc swoje uprawnienia.

Aby lepiej zabezpieczyć swoje środowisko, zainstaluj tę aktualizację systemu Windows na wszystkich urządzeniach, w tym na kontrolerach domeny z systemem Windows.

Pod koniec ubiegłego miesiąca firma wydała przypomnienie dotyczące trzeciej fazy wdrożenia . Chociaż miał się ukazać wraz z Patch Tuesday w tym miesiącu, Microsoft przesunął go o kilka miesięcy, do czerwca. Aktualizacja w centrum komunikatów pulpitu nawigacyjnego Windows Health mówi :

Czerwcowy Patch Tuesday wprowadzi następujące zmiany wzmacniające protokół Kerberos:

Aktualizacje systemu Windows wydane 13 czerwca 2023 r. lub później wykonają następujące czynności:

• Usuń możliwość wyłączenia dodawania podpisu PAC przez ustawienie   podklucza KrbtgtFullPacSignature na wartość 0.

Dodatkowe informacje można znaleźć w artykule pomocy technicznej tutaj ( KB5020805 ).