微軟針對 Kerberos 安全漏洞更新第三階段 Windows DC 強化路線圖
早在 11 月,即該月的第二個星期二,微軟發布了補丁星期二更新。服務器 ( KB5019081 ) 解決了 Windows Kerberos 特權提升漏洞,該漏洞允許威脅參與者更改特權屬性證書 (PAC) 簽名(在 ID“ CVE-2022-37967 ”下進行跟踪)。Microsoft 建議將更新部署到所有 Windows 設備,包括域控制器。
為了幫助部署,Microsoft 發布了指南。該公司將此事的實質總結如下:
2022 年 11 月 8 日的 Windows 更新通過特權屬性證書 (PAC) 簽名解決安全繞過和特權提升漏洞。此安全更新解決了 Kerberos 漏洞,攻擊者可以在這些漏洞中以數字方式更改 PAC 簽名,從而提高他們的特權。
為幫助保護您的環境,請將此 Windows 更新安裝到所有設備,包括 Windows 域控制器。
上月底,公司發布了關於第三階段部署的提示。雖然它本應在本月的補丁星期二發布,但微軟現在已將其推遲幾個月至 6 月。Windows 健康儀表板消息中心的更新說:
週二的 6 月補丁將對 Kerberos 協議進行以下強化更改:
2023 年 6 月 13 日或之後發布的 Windows 更新將執行以下操作:
- 通過將KrbtgtFullPacSignature子項設置為值 0,刪除禁用 PAC 簽名添加的功能 。
您可以在此處 ( KB5020805 )找到有關支持文章的更多詳細信息。
發佈留言