Microsoft 解決了 Kerberos PAC 驗證協定缺陷：CVE-2024-26248 和 CVE-2024-29056

2024 年 4 月 9 日星期二，Microsoft 發布了適用於 Windows 10 和 11 的更新 KB5036892 和 KB5036893，引入了一些新功能並修復了已知問題。

透過這些，微軟也修補了 CVE-2024-26248 和 CVE-2024-29056 下追蹤的幾個 Kerberos PAC 驗證安全漏洞。

這兩個漏洞都是特權提升缺陷，可規避先前在 KB5020805 中實施的 PAC 簽章檢查。

在支援文檔中提到：

該文件提到了重要的一點：僅在2024年4月9日或之後下載並安裝更新，預設不會直接修復CVE-2024-26248和CVE-2024-29056中的安全性問題。

環境完全更新後，您需要切換到強制模式以完全緩解所有裝置的安全性問題。

這表示您首先需要確保 Windows 網域控制站和用戶端已使用 2024 年 4 月 9 日及之後發布的安全性更新進行更新。

接下來，在您的環境中啟用強制模式以消除 CVE-2024-26248 和 CVE-2024-29056 等安全性問題。

以下是未來變化的詳細信息

要了解更多詳細信息，您可以查看KB5037754的支援文件。您是否安裝了4月9日發布的安全修補程式？如果沒有，請盡快安裝並確保啟用強制模式以解決這些安全問題。

2024 年 4 月 9 日：初始部署階段 – 相容模式

初始部署階段從2024 年4 月9 日發布的更新開始。個Windows 網域控制站環境中的 Windows 用戶端已更新。

若要啟用新行為並緩解漏洞，您必須確保整個 Windows 環境（包括網域控制站和用戶端）均已更新。將記錄審核事件以協助識別未更新的設備。

2024 年 10 月 15 日：預設執行階段

2024 年10 月15 日或之後發布的更新將透過將註冊表子項設定變更為PacSignatureValidationLevel=3 和CrossDomainFilteringLevel=4，將環境中的所有Windows 網域控制器和用戶端移至強制模式，預設強制執行安全行為。

管理員可以覆蓋預設強制設定以恢復到相容模式。

2025 年 4 月 8 日：執行階段

2025 年 4 月 8 日或之後發布的 Windows 安全性更新將刪除對註冊表子項 PacSignatureValidationLevel 和 CrossDomainFilteringLevel 的支持，並強制實施新的安全行為。安裝此更新後將不再支援相容模式。

2024 年 4 月 9 日或之後發布的 Windows 安全性更新解決了Kerberos PAC 驗證協定的特權提升漏洞。特權屬性憑證 (PAC) 是 Kerberos 服務票證的擴充。它包含有關身份驗證使用者及其權限的資訊。此更新修復了一個漏洞，該漏洞使進程的用戶可以欺騙簽名以繞過KB5020805中添加的 PAC 簽名驗證安全檢查。