Microsoft lembra sobre a aplicação total do Windows DC Kerberos Netlogon que está chegando

A Microsoft publicou hoje um lembrete sobre a próxima fase de aplicação total do Windows Netlogon e do fortalecimento do Kerberos no próximo mês. As mudanças serão implantadas por meio do Patch Tuesday de outubro de 2023, que será lançado em 10 de outubro. A linha do tempo completa está disponível neste artigo dedicado .

A fase de implantação terminou em junho e um mês depois, em julho, por meio do Patch Tuesday mensal, a fase de aplicação inicial foi lançada:

As atualizações do Windows lançadas em ou após 11 de julho de 2023 farão o seguinte:

• Remove a capacidade de definir o valor 1 para a subchave KrbtgtFullPacSignature.
• Move a atualização para o modo de aplicação (padrão) (KrbtgtFullPacSignature = 3), que pode ser substituído por um administrador com uma configuração de auditoria explícita.

Caso você não saiba, esse reforço tem como objetivo resolver um desvio de segurança e vulnerabilidades de elevação de privilégios com assinaturas de Certificado de Atributo de Privilégio (PAC) nos protocolos Netlogon e Kerberos (rastreados sob o ID “CVE-2022-37967”).

Em seu site de painel de saúde, a gigante da tecnologia escreve :

Lembrete: mudanças de reforço de segurança para Netlogon e Kerberos a partir de 10 de outubro de 2023

As atualizações do Windows lançadas em 8 de novembro de 2022 e posteriores incluem alterações que abordam vulnerabilidades de segurança que afetam os controladores de domínio (DC) do Windows Server. Entre as vulnerabilidades abordadas está um cenário de desvio de segurança Kerberos e elevação de privilégio envolvendo alteração de assinaturas de Certificado de Atributo de Privilégio (PAC). As alterações para resolver este problema foram lançadas após uma série de fases ao longo de 2023 e atingirão a fase final de aplicação em outubro.

Os administradores devem observar as alterações que afetam os requisitos do protocolo Kerberos e que entrarão em vigor com as atualizações do Windows lançadas a partir de 10 de outubro de 2023.

10 de outubro de 2023 – Fase de aplicação completa

As atualizações do Windows lançadas após esta data terão o seguinte efeito:

• Remover a capacidade de desativar a adição de assinatura PAC (feita anteriormente por meio da subchave de registro KrbtgtFullPacSignature)
• Remova o suporte para o modo de auditoria (isso habilitava a autenticação se as assinaturas PAC estavam ausentes ou eram inválidas e criava logs de auditoria para revisão).
• Negar autenticação a tickets de serviço recebidos sem as novas assinaturas PAC.

A fase descrita acima é a fase final destas medidas de reforço da segurança.

Todas as contas de máquinas ingressadas no domínio são afetadas por essas vulnerabilidades.

Você pode encontrar mais detalhes sobre o tópico nesta página ( KB5020805 ) no site oficial da Microsoft.