Microsoft atualiza roteiro de proteção de DC do Windows de terceira fase para falha de segurança do Kerberos

Em novembro, na segunda terça-feira do mês, a Microsoft lançou sua atualização Patch Tuesday. O dos servidores ( KB5019081 ) abordou uma vulnerabilidade de elevação de privilégio do Windows Kerberos que permitia que os agentes de ameaças alterassem as assinaturas do Privilege Attribute Certificate (PAC) (rastreadas sob o ID “ CVE-2022-37967 ”). A Microsoft recomendou a implantação da atualização em todos os dispositivos Windows, incluindo controladores de domínio.

Para ajudar na implantação, a Microsoft publicou orientações. A empresa resumiu a carne da questão da seguinte forma:

As atualizações do Windows de 8 de novembro de 2022 abordam o desvio de segurança e a elevação de vulnerabilidades de privilégio com assinaturas de certificado de atributo de privilégio (PAC). Esta atualização de segurança aborda as vulnerabilidades do Kerberos em que um invasor pode alterar digitalmente as assinaturas do PAC, aumentando seus privilégios.

Para ajudar a proteger seu ambiente, instale esta atualização do Windows em todos os dispositivos, incluindo controladores de domínio do Windows.

No final do mês passado, a empresa emitiu um alerta sobre a terceira fase de implantação . Embora devesse sair com o Patch Tuesday deste mês, a Microsoft agora adiou por alguns meses até junho. A atualização no centro de mensagens do painel do Windows Health diz :

O Patch Tuesday de junho fará a seguinte alteração de proteção no protocolo Kerberos:

As atualizações do Windows lançadas a partir de 13 de junho de 2023 farão o seguinte:

• Remova a capacidade de desabilitar a adição de assinatura PAC definindo a   subchave KrbtgtFullPacSignature com um valor de 0.

Você pode encontrar detalhes adicionais no artigo de suporte aqui ( KB5020805 ).