Microsoft lança proteção DC de terceira fase para falha de segurança Kerberos e Netlogon

Ontem foi a segunda terça-feira do mês e, como esperado, a Microsoft lançou as atualizações do Patch Tuesday no Windows 10 ( KB5027215, entre outros ) e no Windows 11 ( KB5027231 ). Os servidores também receberam atualizações do Patch Tuesday e a Microsoft lançou a terceira fase da proteção contínua do controlador de domínio (DC). A Microsoft lembrou aos usuários e administradores sobre essa mudança em março .

A proteção destina-se a resolver um desvio de segurança e elevação de vulnerabilidades de privilégio com assinaturas de Certificado de Atributo de Privilégio (PAC) nos protocolos Netlogon e Kerberos. Em seu site de painel de saúde do Windows, a empresa anunciou o lançamento. Ele escreve :

As versões do Windows de 8 de novembro de 2022 e posteriores incluem atualizações de segurança que abordam vulnerabilidades de segurança que afetam os controladores de domínio (DC) do Windows Server. Essas proteções seguem um calendário de mudanças de fortalecimento e são lançadas em fases. Conforme anunciado anteriormente, os administradores devem observar as seguintes alterações que entrarão em vigor após as atualizações do Windows lançadas a partir de 13 de junho de 2023:

Mudanças no protocolo Netlogon :

• 13 de junho de 2023 : a aplicação do protocolo Netlogon usando vedação RPC será habilitada em todos os controladores de domínio e as conexões vulneráveis ​​de dispositivos não compatíveis serão bloqueadas. Ainda é possível remover essa imposição, até julho de 2023.
• 11 de julho de 2023 : a aplicação total da vedação RPC começará e não poderá ser removida.

Mudanças no protocolo Kerberos :

• 13 de junho: 2023 : a capacidade de desabilitar a adição de assinatura PAC não estará mais disponível e os controladores de domínio com a atualização de segurança de novembro de 2022 ou posterior terão assinaturas adicionadas ao Kerberos PAC Buffer.
• 11 de julho de 2023 : a verificação da assinatura será iniciada e não poderá ser impedida. Conexões para assinaturas ausentes ou inválidas continuarão sendo permitidas (configuração “Modo de auditoria”), no entanto, a autenticação será negada a partir de outubro de 2023.

No final de abril, a Microsoft também publicou um cronograma completo das próximas alterações para Netlogon, Kerberos e Azure Active Directory (AD) até 2024 .