Zusammenfassung
Die windows-Sicherheitsupdates, die am oder nach dem 9. April 2024 veröffentlicht wurden, beheben Sicherheitsrisiken durch Rechteerweiterungen mit dem Kerberos PAC Validation Protocol. Das Berechtigungsattributzertifikat (Privilege Attribute Certificate, PAC) ist eine Erweiterung für Kerberos-Diensttickets. Sie enthält Informationen zum authentifizierenden Benutzer und seinen Berechtigungen. Dieses Update behebt ein Sicherheitsrisiko, bei dem der Benutzer des Prozesses die Signatur spoofen kann, um sicherheitsrelevante Überprüfungen der PAC-Signatur zu umgehen, die in KB5020805 hinzugefügt wurden : Verwalten von Kerberos-Protokolländerungen im Zusammenhang mit CVE-2022-37967.
Weitere Informationen zu diesen Sicherheitsrisiken finden Sie unter CVE-2024-26248 und CVE-2024-29056.
Handeln Sie
WICHTIG In Schritt 1 zum Installieren des am oder nach dem 9. April 2024 veröffentlichten Updates werden die Sicherheitsprobleme in CVE-2024-26248 und CVE-2024-29056 standardmäßig nicht vollständig behoben. Um das Sicherheitsproblem für alle Geräte vollständig zu beheben, müssen Sie in den Erzwungenen Modus (in Schritt 3 beschrieben) wechseln, nachdem Ihre Umgebung vollständig aktualisiert wurde.
Um Ihre Umgebung zu schützen und Ausfälle zu verhindern, empfehlen wir die folgenden Schritte:
-
AKTUALISIEREN: Windows-Domänencontroller und Windows-Clients müssen mit einem Windows-Sicherheitsupdate aktualisiert werden, das am oder nach dem 9. April 2024 veröffentlicht wurde.
-
MONITOR: Überwachungsereignisse werden im Kompatibilitätsmodus angezeigt, um Geräte zu identifizieren, die nicht aktualisiert werden.
-
AKTIVIEREN: Nachdem der Erzwingungsmodus in Ihrer Umgebung vollständig aktiviert wurde, werden die in CVE-2024-26248 und CVE-2024-29056 beschriebenen Sicherheitsrisiken behoben.
Hintergrund
Wenn eine Windows-Arbeitsstation eine PAC-Überprüfung für einen eingehenden Kerberos-Authentifizierungsfluss durchführt, führt sie eine neue Anforderung (Netzwerkticketanmeldung) aus, um das Dienstticket zu überprüfen. Die Anforderung wird zunächst über Netlogon an einen Domänencontroller (DC) der Arbeitsstationsdomäne weitergeleitet.
Wenn das Dienstkonto und das Computerkonto verschiedenen Domänen angehören, wird die Anforderung über Netlogon über die erforderlichen Vertrauensstellungen übertragen, bis sie die Dienstdomäne erreicht. Andernfalls führt der DC in der Domäne computerkonten die Überprüfung durch. Der Domänencontroller ruft dann das Schlüsselverteilungscenter (Key Distribution Center, KDC) auf, um die PAC-Signaturen des Diensttickets zu überprüfen, und sendet Benutzer- und Geräteinformationen zurück an die Arbeitsstation.
Wenn die Anforderung und Antwort über eine Vertrauensstellung weitergeleitet werden (in dem Fall, in dem das Dienstkonto und das Arbeitsstationskonto zu verschiedenen Domänen gehören), filtert jeder DC in der Vertrauensstellung Autorisierungsdaten, die sich darauf beziehen.
Zeitachse der Änderungen
Updates werden wie folgt veröffentlicht. Beachten Sie, dass dieser Releasezeitplan bei Bedarf überarbeitet werden kann.
Die erste Bereitstellungsphase beginnt mit den Updates, die am 9. April 2024 veröffentlicht wurden. Dieses Update fügt ein neues Verhalten hinzu, das die in CVE-2024-26248 und CVE-2024-29056 beschriebenen Sicherheitsrisiken durch Rechteerweiterungen verhindert, es aber nur erzwingt, wenn sowohl Windows-Domänencontroller als auch Windows-Clients in der Umgebung aktualisiert werden.
Um das neue Verhalten zu aktivieren und die Sicherheitsrisiken zu minimieren, müssen Sie sicherstellen, dass Ihre gesamte Windows-Umgebung (einschließlich Domänencontrollern und Clients) aktualisiert wird. Überwachungsereignisse werden protokolliert, um Geräte zu identifizieren, die nicht aktualisiert werden.
Updates, die am oder nach dem 15. Oktober 2024 veröffentlicht wurden, verschieben alle Windows-Domänencontroller und -Clients in der Umgebung in den Modus "Erzwungen", indem die Registrierungsunterschlüsseleinstellungen in PacSignatureValidationLevel=3 und CrossDomainFilteringLevel=4 geändert werden, wodurch standardmäßig das sichere Verhalten erzwungen wird.
Die Von Standard erzwungenen Einstellungen können von einem Administrator überschrieben werden, um in den Kompatibilitätsmodus zu rückgängig machen.
Die Windows-Sicherheitsupdates, die am oder nach dem 8. April 2025 veröffentlicht wurden, entfernen die Unterstützung für die Registrierungsunterschlüssel PacSignatureValidationLevel und CrossDomainFilteringLevel und erzwingen das neue sichere Verhalten. Nach der Installation dieses Updates wird der Kompatibilitätsmodus nicht mehr unterstützt.
Mögliche Probleme und Abhilfemaßnahmen
Es gibt potenzielle Probleme, die auftreten können, z. B. PAC-Validierung und Fehler bei der gesamtstrukturübergreifenden Filterung. Das Sicherheitsupdate vom 9. April 2024 enthält Fallbacklogik und Registrierungseinstellungen, um diese Probleme zu beheben.
Registrierungseinstellungen
Dieses Sicherheitsupdate wird windows-Geräten (einschließlich Domänencontrollern) angeboten. Die folgenden Registrierungsschlüssel, die das Verhalten steuern, müssen nur auf dem Kerberos-Server bereitgestellt werden, der eingehende Kerberos-Authentifizierung akzeptiert und eine PAC-Überprüfung durchführt.
|
Registrierungsunterschlüssel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Wert |
PacSignatureValidationLevel |
|
|
Typ |
REG_DWORD |
|
|
Daten |
2 |
Standard (Kompatibilität mit nicht gepatchter Umgebung) |
|
3 |
Erzwingen |
|
|
Neustart erforderlich? |
Nein |
|
|
Registrierungsunterschlüssel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Wert |
CrossDomainFilteringLevel |
|
|
Typ |
REG_DWORD |
|
|
Daten |
2 |
Standard (Kompatibilität mit nicht gepatchter Umgebung) |
|
4 |
Erzwingen |
|
|
Neustart erforderlich? |
Nein |
|
Dieser Registrierungsschlüssel kann sowohl auf Windows-Servern bereitgestellt werden, die eingehende Kerberos-Authentifizierung akzeptieren, als auch auf jedem Windows-Domänencontroller, der den neuen Netzwerkticket-Anmeldeflow überprüft.
|
Registrierungsunterschlüssel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Wert |
AuditKerberosTicketLogonEvents |
|
|
Typ |
REG_DWORD |
|
|
Daten |
1 |
Standard: Protokollieren kritischer Ereignisse |
|
2 |
Protokollieren aller Netlogon-Ereignisse |
|
|
0 |
Netlogon-Ereignisse nicht protokollieren |
|
|
Neustart erforderlich? |
Nein |
|
Ereignisprotokolle
Die folgenden Kerberos-Überwachungsereignisse werden auf dem Kerberos-Server generiert, der eingehende Kerberos-Authentifizierung akzeptiert. Dieser Kerberos-Server führt die PAC-Überprüfung durch, die den neuen Netzwerkticket-Anmeldeflow verwendet.
|
Ereignisprotokoll |
System |
|
Ereignistyp |
Information |
|
Ereignisquelle |
Security-Kerberos |
|
Ereigniskennung |
21 |
|
Ereignistext |
Während der Kerberos-Netzwerkticketanmeldung wurden für das Dienstticket für Konto <Konto, das von der Domäne <Domäne>>, die folgenden Aktionen vom DC-<-Domänencontroller-> ausgeführt. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2262558. |
Dieses Ereignis wird angezeigt, wenn ein Domänencontroller während eines Netzwerkticket-Anmeldeflows eine nicht schwerwiegende Aktion ausgeführt hat. Ab sofort werden die folgenden Aktionen protokolliert:
-
Benutzer-SIDs wurden gefiltert.
-
Geräte-SIDs wurden gefiltert.
-
Die Verbundidentität wurde entfernt, weil die SID-Filterung die Identität des Geräts nicht mehr zuteilte.
-
Die Verbundidentität wurde entfernt, da die SID-Filterung den Domänennamen des Geräts nicht mehr zuteilte.
|
Ereignisprotokoll |
System |
|
Ereignistyp |
Fehler |
|
Ereignisquelle |
Security-Kerberos |
|
Ereigniskennung |
22 |
|
Ereignistext |
Während der Kerberos-Netzwerkticketanmeldung wurde das Dienstticket für konto <Konto> <Domain> von DC <DC> aus den folgenden Gründen verweigert. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2262558. |
Dieses Ereignis wird angezeigt, wenn ein Domänencontroller die Anforderung für die Netzwerkticketanmeldung aus den im Ereignis angegebenen Gründen abgelehnt hat.
|
Ereignisprotokoll |
System |
|
Ereignistyp |
Warnung oder Fehler |
|
Ereignisquelle |
Security-Kerberos |
|
Ereigniskennung |
23 |
|
Ereignistext |
Während der Kerberos-Netzwerkticketanmeldung konnte das Dienstticket für das Konto <account_name> von Der Domäne <domain_name> nicht an einen Domänencontroller weitergeleitet werden, um die Anforderung zu verarbeiten. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Dieses Ereignis wird als Warnung angezeigt, wenn PacSignatureValidationLevel AND CrossDomainFilteringLevel nicht auf Enforce oder stricter festgelegt sind. Wenn es als Warnung protokolliert wird, gibt das Ereignis an, dass die Netzwerkticket-Anmeldeflows einen Domänencontroller oder ein gleichwertiges Gerät kontaktiert haben, das den neuen Mechanismus nicht verstanden hat. Für die Authentifizierung wurde ein Fallback auf das vorherige Verhalten zugelassen.
-
Dieses Ereignis wird als Fehler angezeigt, wenn PacSignatureValidationLevel ODER CrossDomainFilteringLevel auf Enforce oder stricter festgelegt ist. Dieses Ereignis als "Fehler" gibt an, dass der Netzwerkticket-Anmeldeflow einen Domänencontroller oder ein gleichwertiges Gerät kontaktiert hat, das den neuen Mechanismus nicht verstanden hat. Die Authentifizierung wurde verweigert, und es konnte kein Fallback auf das vorherige Verhalten ausgeführt werden.
|
Ereignisprotokoll |
System |
|
Ereignistyp |
Fehler |
|
Ereignisquelle |
Netlogon |
|
Ereigniskennung |
5842 |
|
Ereignistext |
Beim Netlogon-Dienst ist bei der Verarbeitung einer Kerberos-Netzwerkticketanmeldungsanforderung ein unerwarteter Fehler aufgetreten. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2261497. Dienstticketkonto: <-Konto> Service Ticket Domain: <Domain> Name der Arbeitsstation: <Computername> Status: <Fehlercode> |
Dieses Ereignis wird generiert, wenn bei Netlogon während einer Netzwerkticket-Anmeldeanforderung ein unerwarteter Fehler aufgetreten ist. Dieses Ereignis wird protokolliert, wenn AuditKerberosTicketLogonEvents auf (1) oder höher festgelegt ist.
|
Ereignisprotokoll |
System |
|
Ereignistyp |
Warnung |
|
Ereignisquelle |
Netlogon |
|
Ereigniskennung |
5843 |
|
Ereignistext |
Der Netlogon-Dienst konnte keine Kerberos-Netzwerkticketanmeldungsanforderung an den Domänencontroller <DC-> weiterleiten. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2261497. Dienstticketkonto: <-Konto> Service Ticket Domain: <Domain> Name der Arbeitsstation: <Computername> |
Dieses Ereignis wird generiert, wenn Netlogon die Netzwerkticketanmeldung nicht abschließen konnte, weil ein Domänencontroller die Änderungen nicht verstanden hat. Aufgrund von Einschränkungen im Netlogon-Protokoll kann der Netlogon-Client nicht ermitteln, ob der Domänencontroller, mit dem der Netlogon-Client direkt spricht, der die Änderungen nicht versteht, oder ob es sich um einen Domänencontroller entlang der Weiterleitungskette handelt, der die Änderungen nicht versteht.
-
Wenn die Dienstticketdomäne mit der Domäne des Computerkontos identisch ist, ist es wahrscheinlich, dass der Domänencontroller im Ereignisprotokoll den Anmeldeflow für Netzwerktickets nicht versteht.
-
Wenn sich die Dienstticketdomäne von der Domäne des Computerkontos unterscheidet, hat einer der Domänencontroller auf dem Weg von der Domäne des Computerkontos zur Domäne des Dienstkontos den Netzwerkticket-Anmeldeflow nicht verstanden.
Dieses Ereignis ist standardmäßig deaktiviert. Microsoft empfiehlt Benutzern, zuerst ihre gesamte Flotte zu aktualisieren, bevor sie das Ereignis aktivieren.
Dieses Ereignis wird protokolliert, wenn AuditKerberosTicketLogonEvents auf (2) festgelegt ist.
Häufig gestellte Fragen (FAQ)
Ein Domänencontroller, der nicht aktualisiert wird, erkennt diese neue Anforderungsstruktur nicht. Dies führt dazu, dass die Sicherheitsüberprüfung fehlschlägt. Im Kompatibilitätsmodus wird die alte Anforderungsstruktur verwendet. Dieses Szenario ist weiterhin anfällig für CVE-2024-26248 und CVE-2024-29056.
Ja. Dies liegt daran, dass der neue Netzwerkticket-Anmeldeflow möglicherweise domänenübergreifend weitergeleitet werden muss, um die Domäne des Dienstkontos zu erreichen.
Die PAC-Überprüfung kann unter bestimmten Umständen übersprungen werden, einschließlich, aber nicht beschränkt auf die folgenden Szenarien:
-
Wenn der Dienst über TCB-Berechtigungen verfügt. Im Allgemeinen verfügen Dienste, die im Kontext des SYSTEM-Kontos ausgeführt werden (z. B. SMB-Dateifreigaben oder LDAP-Server), über diese Berechtigung.
-
Wenn der Dienst über den Taskplaner ausgeführt wird.
Andernfalls wird die PAC-Überprüfung für alle eingehenden Kerberos-Authentifizierungsflüsse ausgeführt.
Diese CVEs umfassen eine lokale Rechteerweiterung, bei der ein böswilliges oder kompromittiertes Dienstkonto, das auf der Windows-Arbeitsstation ausgeführt wird, versucht, seine Berechtigung zum Erlangen lokaler Administratorrechte zu erhöhen. Dies bedeutet, dass nur die Windows-Arbeitsstation betroffen ist, die eingehende Kerberos-Authentifizierung akzeptiert.
