Резюме
Актуализациите на защитата на Windows, издадени на или след 9 април 2024 г., адресират увеличаване на уязвимостите с привилегии с Протокола kerberos PAC Validation Protocol. Сертификатът на атрибута Privilege (PAC) е разширение на билети за услуги на Kerberos. Съдържа информация за удостоверяващия потребител и неговите привилегии. Тази актуализация коригира уязвимост, при която потребителят на процеса може да измества подписа, за да заобиколи проверките за защита на PAC проверка на подпис, добавени в KB5020805: Как да управлявате промени в протокола Kerberos, свързани с CVE-2022-37967.
За да научите повече за тези уязвимости, посетете CVE-2024-26248 и CVE-2024-29056.
Предприемане на действие
ВАЖНОСтъпка 1, за да инсталирате актуализацията, издадена на или след 9 април 2024 г., НЯМА да адресира напълно проблемите със защитата в CVE-2024-26248 и CVE-2024-29056 по подразбиране. За да намалите напълно проблема със защитата за всички устройства, трябва да преминете към наложен режим (описан в стъпка 3), след като средата ви е напълно актуализирана.
За да защитите вашата среда и да предотвратите прекъсване на тока, ви препоръчваме следните стъпки:
-
АКТУАЛИЗАЦИЯ: Домейнови контролери на Windows и клиенти на Windows трябва да се актуализират с актуализация на защитата на Windows, издадена на или след 9 април 2024 г.
-
МОНИТОР: Събитията от проверката ще се виждат в режим на съвместимост , за да се идентифицират устройствата, които не са актуализирани.
-
РАЗРЕШИТЕ: След като режимът на прилагане е напълно разрешен във вашата среда, уязвимостите, описани в CVE-2024-26248 и CVE-2024-29056 , ще бъдат смекчени.
„Фон“
Когато работна станция на Windows извършва PAC проверка на входящия поток за удостоверяване Kerberos, тя изпълнява нова заявка (Влизане на мрежов билет) за проверка на билета за услуга. Искането първоначално се препраща към домейнов контролер (DC) на домейна Workstations чрез Netlogon.
Ако акаунтът на услугата и акаунтът на компютъра принадлежат към различни домейни, искането се извършва през необходимите гаранти чрез Netlogon, докато достигне домейна за услуги; В противен случай DC в домейна на акаунтите на компютрите извършва проверката. След това DC извиква центъра за разпространение на ключове (KDC) за проверка на PAC подписите на билета за услуга и изпраща информация за потребителя и устройството обратно към работната станция.
Ако искането и отговорът са препратени в доверие (в случай че акаунтът на услугата и акаунтът на работната станция принадлежат към различни домейни), всеки домейнов контролер в рамките на отдела за сигурност филтрира данните за удостоверяване, които се отнасят за него.
Времева линия на промените
Актуализации се издават по следния начин. Имайте предвид, че този график за издаване може да бъде коригиран, ако е необходимо.
Началната фаза на разполагане започва с актуализациите, издадени на 9 април 2024 г. Тази актуализация добавя ново поведение, което предотвратява увеличаването на привилегиите уязвимости, описани в CVE-2024-26248 и CVE-2024-29056 , но не го налага, освен ако не се актуализират както домейнови контролери на Windows, така и клиенти на Windows в средата.
За да разрешите новото поведение и да намалите уязвимостите, трябва да се уверите, че цялата ви среда на Windows (включително домейнови контролери и клиенти) е актуализирана. Събитията от проверката ще бъдат регистрирани, за да помогнат за идентифицирането на устройства, които не са актуализирани.
Актуализации, издаден на или след 15 октомври 2024 г., ще премести всички домейнови контролери и клиенти на Windows в средата на Наложен режим, като промени настройките на подключа на системния регистър на PacSignatureValidationLevel=3 и CrossDomainFilteringLevel=4, налагайки защитеното поведение по подразбиране.
Настройките "Наложено по подразбиране " могат да бъдат заместени от администратора, за да се върнат в режим на съвместимост .
Актуализациите на защитата на Windows, издадени на или след 8 април 2025 г., ще премахнат поддръжката за подключовете в системния регистър PacSignatureValidationLevel и CrossDomainFilteringLevel и ще наложат новото защитено поведение. Няма да има поддръжка за режима на съвместимост след инсталирането на тази актуализация.
Потенциални проблеми и смекчавания на последствията
Има потенциални проблеми, които могат да възникнат, включително PAC проверка и грешки при филтриране между гори. Актуализацията на защитата от 9 април 2024 г. включва резервна логика и настройки на системния регистър за намаляване на тези проблеми
Настройки на системния регистър
Тази актуализация на защитата се предлага за устройства с Windows (включително домейнови контролери). Следните ключове от системния регистър, които управляват поведението, трябва да бъдат разположени само на kerberos сървъра, който приема входящо Kerberos удостоверяване и изпълнява PAC проверка.
Подключ от системния регистър |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
Стойност |
PacSignatureValidationLevel |
|
Тип данни |
REG_DWORD |
|
Данни |
2 |
По подразбиране (съвместимост с непрочетена среда) |
3 |
Прилагане |
|
Изисква се рестартиране? |
Не |
Подключ от системния регистър |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
Стойност |
CrossDomainFilteringLevel |
|
Тип данни |
REG_DWORD |
|
Данни |
2 |
По подразбиране (съвместимост с непрочетена среда) |
4 |
Прилагане |
|
Изисква се рестартиране? |
Не |
Този ключ от системния регистър може да се разположи както на сървъри на Windows, приемащи входящо Kerberos удостоверяване, така и на всеки домейнов контролер на Windows, който проверява новия поток за влизане на мрежови картони.
Подключ от системния регистър |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Стойност |
AuditKerberosTicketLogonEvents |
|
Тип данни |
REG_DWORD |
|
Данни |
1 |
По подразбиране – регистриране на критични събития |
2 |
Регистриране на всички събития на Netlogon |
|
0 |
Да не се регистрират събития Netlogon |
|
Изисква се рестартиране? |
Не |
Регистри на събитията
Следните събития за проверка на Kerberos ще бъдат генерирани на Kerberos сървъра, който приема входящо Kerberos удостоверяване. Този Сървър на Kerberos ще извършва PAC проверка, която използва новия поток за влизане на мрежови картони.
Регистър на събитията |
Система |
Тип събитие |
Информационна |
Източник на събитие |
Security-Kerberos |
ИД на събитие |
21 |
Текст на събитие |
По време на влизане с мрежови картони на Kerberos билетът за услуга за акаунт <акаунт> от домейн <домейн> е направил следните действия от DC <домейнов контролер>. За повече информация посетете https://go.microsoft.com/fwlink/?linkid=2262558. |
Това събитие се показва, когато домейнов контролер е предприел нефатални действия по време на поток за влизане на мрежов билет. Към момента се регистрират следните действия:
-
Потребителските SIDs са филтрирани.
-
Идентификаторите на устройства са филтрирани.
-
Сложната самоличност е премахната поради SID филтриране, което не позволява самоличността на устройството.
-
Сложната самоличност е премахната поради SID филтриране, което не позволява името на домейна на устройството.
Регистър на събитията |
Система |
Тип събитие |
Грешка |
Източник на събитие |
Security-Kerberos |
ИД на събитие |
22 |
Текст на събитие |
По време на влизане с мрежови картони на Kerberos билетът за услуга за акаунт <акаунт> от домейн <домейн> е отказан от DC <DC> поради причините по-долу. За повече информация посетете https://go.microsoft.com/fwlink/?linkid=2262558. |
Това събитие се показва, когато домейнов контролер е отказал заявката за влизане в мрежов билет поради причините, показани в събитието.
Регистър на събитията |
Система |
Тип събитие |
Предупреждение или грешка |
Източник на събитие |
Security-Kerberos |
ИД на събитие |
23 |
Текст на събитие |
По време на влизане с мрежови картони на Kerberos билетът за услуга за акаунт <account_name> от <domain_name> не можа да бъде препратен към домейнов контролер, за да обслужи искането. За повече информация посетете https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Това събитие се показва като предупреждение, ако PacSignatureValidationLevel AND CrossDomainFilteringLevel не са зададени на Налагане или по-строго. Когато се регистрира като предупреждение, събитието показва, че влизането в network Ticket Flows е контактирало с домейнов контролер или еквивалентно устройство, което не разбира новия механизъм. Удостоверяването е позволено да се върнете към предишното поведение.
-
Това събитие се показва като грешка, ако PacSignatureValidationLevel ИЛИ CrossDomainFilteringLevel е зададено на Налагане или по-строго. Това събитие като "грешка" показва, че потокът за влизане на мрежовия билет се е свързал с домейнов контролер или еквивалентно устройство, което не разбира новия механизъм. Удостоверяването е отказано и не може да се превключи към предишно поведение.
Регистър на събитията |
Система |
Тип събитие |
Грешка |
Източник на събитие |
Netlogon |
ИД на събитие |
5842 |
Текст на събитие |
Услугата Netlogon се натъкна на неочаквана грешка при обработката на заявка за влизане в мрежовия билет на Kerberos. За повече информация посетете https://go.microsoft.com/fwlink/?linkid=2261497. Акаунт за билет за услуга: <акаунт> Домейн на билет за услуга: <домейн> Име на работна станция:> <име на машина Състояние: <код на грешка> |
Това събитие се генерира всеки път, когато Netlogon се натъкне на неочаквана грешка по време на заявка за влизане в мрежов билет. Това събитие се записва, когато AuditKerberosTicketLogonEvents е зададено на (1) или по-нова версия.
Регистър на събитията |
Система |
Тип събитие |
Предупреждение |
Източник на събитие |
Netlogon |
ИД на събитие |
5843 |
Текст на събитие |
Услугата Netlogon не успя да препрати искане за влизане в мрежовия билет на Kerberos на домейновия контролер <DC>. За повече информация посетете https://go.microsoft.com/fwlink/?linkid=2261497. Акаунт за билет за услуга: <акаунт> Домейн на билет за услуга: <домейн> Име на работна станция:> <име на машина |
Това събитие се генерира всеки път, когато Netlogon не може да завърши влизането с мрежов билет, защото домейнов контролер не е разбрал промените. Поради ограничения в протокола Netlogon клиентът Netlogon не може да определи дали домейновия контролер, с който клиентът Netlogon говори директно, е този, който не разбира промените или е домейнов контролер по верига за препращане, който не разбира промените.
-
Ако домейнът на билета за услуга е същият като домейна на акаунта на машината, вероятно домейновия контролер в регистрационния файл на събитията не разбира потока за влизане на мрежовия билет.
-
Ако домейнът на билета за услуга е различен от домейна на акаунта на машината, един от домейновия контролер по пътя от домейна на акаунта за машината до домейна на акаунта за услугата не разбира потока за влизане на мрежовия билет
Това събитие е изключено по подразбиране. Microsoft препоръчва на потребителите първо да актуализират целия си автопарк, преди да вк люлят събитието.
Това събитие се записва, когато AuditKerberosTicketLogonEvents е зададено на (2).
Често задавани въпроси (ЧЗВ)
Домейнов контролер, който не е актуализиран, няма да разпознае тази нова структура на искане. Това ще доведе до неуспешна проверка на защитата. В режим на съвместимост ще се използва старата структура на заявки. Този сценарий все още е уязвим за CVE-2024-26248 и CVE-2024-29056.
Да. Това е така, защото новият поток за влизане на мрежовите картони може да се наложи да бъде маршрутизиран през домейни, за да достигне до домейна на акаунта на услугата.
PAC проверката може да бъде пропусната при определени обстоятелства, включително, но не само, следните сценарии:
-
Ако услугата има привилегия TCB. По принцип услугите, които се изпълняват в контекста на системния акаунт (например SMB файлови дялове или LDAP сървъри), имат тази привилегия.
-
Ако услугата се изпълнява от планировчика на задачи.
В противен случай PAC проверката се извършва за всички входящи потоци за удостоверяване Kerberos.
Тези CVEs включват локално увеличаване на привилегиите, при което злонамерен или компрометиран акаунт за услуги, който се изпълнява на Windows Workstation, се опитва да повиши привилегиите си за получаване на локални права за администриране. Това означава, че се засяга само Windows Workstation, който приема входящо Kerberos удостоверяване.