Σύνοψη
Οι ενημερώσεις ασφαλείας των Windows που κυκλοφόρησαν στις ή μετά τις 9 Απριλίου 2024 αντιμετωπίζουν ευπάθειες αναβάθμισης δικαιωμάτων με το πρωτόκολλο επικύρωσης PAC Kerberos. Το Πιστοποιητικό χαρακτηριστικού προνομίων (PAC) είναι μια επέκταση στα δελτία υπηρεσίας Kerberos. Περιέχει πληροφορίες σχετικά με τον χρήστη που έχει πραγματοποιήσει έλεγχο ταυτότητας και τα δικαιώματά του. Αυτή η ενημέρωση διορθώνει μια ευπάθεια όπου ο χρήστης της διαδικασίας μπορεί να πλαστογραφήσει την υπογραφή για την παράκαμψη των ελέγχων ασφαλείας επικύρωσης υπογραφής PAC που προστίθενται στο KB5020805: Πώς μπορείτε να διαχειριστείτε τις αλλαγές πρωτοκόλλου Kerberos που σχετίζονται με το CVE-2022-37967.
Για να μάθετε περισσότερα σχετικά με αυτές τις ευπάθειες, επισκεφθείτε τις ευπάθειες CVE-2024-26248 και CVE-2024-29056.
Ανάληψη δράσης
ΣΗΜΑΝΤΙΚΌΒήμα 1 για την εγκατάσταση της ενημέρωσης που κυκλοφόρησε στις ή μετά τις 9 Απριλίου 2024 ΔΕΝ θα αντιμετωπίσει πλήρως τα προβλήματα ασφαλείας στο CVE-2024-26248 και το CVE-2024-29056 από προεπιλογή. Για να μετριάσετε πλήρως το πρόβλημα ασφάλειας για όλες τις συσκευές, πρέπει να μεταβείτε στην ισχύουσα λειτουργία (όπως περιγράφεται στο βήμα 3) μόλις το περιβάλλον σας ενημερωθεί πλήρως.
Για να προστατεύσετε το περιβάλλον σας και να αποτρέψετε τις διακοπές λειτουργίας, συνιστάται να ακολουθήσετε τα παρακάτω βήματα:
-
ΕΝΗΜΕΡΩΜΈΝΗ ΈΚΔΟΣΗ: Οι ελεγκτές τομέα των Windows και τα προγράμματα-πελάτες των Windows πρέπει να ενημερωθούν με μια ενημέρωση ασφαλείας των Windows που θα κυκλοφορήσει στις ή μετά τις 9 Απριλίου 2024.
-
ΠΑΡΑΚΟΛΟΎΘΗΣΗ: Τα συμβάντα ελέγχου θα είναι ορατά σε κατάσταση λειτουργίας συμβατότητας για τον προσδιορισμό συσκευών που δεν έχουν ενημερωθεί.
-
ΕΝΕΡΓΟΠΟΙΉΣΕΤΕ: Μετά την πλήρη ενεργοποίηση της λειτουργίας επιβολής στο περιβάλλον σας, θα μετριαστούν οι ευπάθειες που περιγράφονται στα CVE-2024-26248 και CVE-2024-29056 .
Φόντο
Όταν ένας σταθμός εργασίας των Windows εκτελεί επικύρωση PAC σε μια εισερχόμενη ροή ελέγχου ταυτότητας Kerberos, εκτελεί μια νέα αίτηση (Σύνδεση δελτίου δικτύου) για την επικύρωση του δελτίου υπηρεσίας. Η αίτηση προωθείται αρχικά σε έναν ελεγκτή τομέα (DC) του τομέα Workstations μέσω του Netlogon.
Εάν ο λογαριασμός υπηρεσίας και ο λογαριασμός υπολογιστή ανήκουν σε διαφορετικούς τομείς, η αίτηση μεταφέρεται στις απαραίτητες αξιόπιστες υπηρεσίες μέσω του Netlogon μέχρι να φτάσει στον τομέα υπηρεσιών. διαφορετικά, ο ελεγκτής τομέα στους υπολογιστές του τομέα λογαριασμών εκτελεί την επικύρωση. Στη συνέχεια, ο ελεγκτής τομέα καλεί το Κέντρο διανομής κλειδιών (KDC) για να επικυρώσει τις υπογραφές PAC του δελτίου υπηρεσίας και στέλνει πληροφορίες χρηστών και συσκευών πίσω στο σταθμό εργασίας.
Εάν η αίτηση και η απάντηση προωθούνται σε μια αξιοπιστία (στην περίπτωση όπου ο λογαριασμός υπηρεσίας και ο λογαριασμός σταθμού εργασίας ανήκουν σε διαφορετικούς τομείς), κάθε ελεγκτής τομέα στην αξιοπιστία φιλτράρει τα δεδομένα εξουσιοδότησης που σχετίζονται με αυτόν.
Λωρίδα χρόνου αλλαγών
Ενημερώσεις κυκλοφορούν ως εξής. Λάβετε υπόψη ότι αυτό το χρονοδιάγραμμα κυκλοφορίας ενδέχεται να αναθεωρηθεί ανάλογα με τις ανάγκες.
Η αρχική φάση ανάπτυξης ξεκινά με τις ενημερώσεις που κυκλοφόρησαν στις 9 Απριλίου 2024. Αυτή η ενημέρωση προσθέτει νέα συμπεριφορά που αποτρέπει την αναβάθμιση των ευπαθειών δικαιωμάτων που περιγράφονται στις εκδόσεις CVE-2024-26248 και CVE-2024-29056 , αλλά δεν την επιβάλλει, εκτός εάν ενημερωθούν τόσο οι ελεγκτές τομέα των Windows όσο και τα προγράμματα-πελάτες Windows στο περιβάλλον.
Για να ενεργοποιήσετε τη νέα συμπεριφορά και να μετριάσετε τις ευπάθειες, πρέπει να βεβαιωθείτε ότι ολόκληρο το περιβάλλον των Windows (συμπεριλαμβανομένων των ελεγκτών τομέα και των πελατών) είναι ενημερωμένο. Τα συμβάντα ελέγχου θα καταγράφονται για τον προσδιορισμό των συσκευών που δεν έχουν ενημερωθεί.
Ενημερώσεις που θα κυκλοφορήσει στις ή μετά τις 15 Οκτωβρίου 2024, θα μετακινήσει όλους τους ελεγκτές τομέα και τους υπολογιστές-πελάτες των Windows στο περιβάλλον σε Ισχύουσα λειτουργία, αλλάζοντας τις ρυθμίσεις δευτερεύοντος κλειδιού μητρώου σε PacSignatureValidationLevel=3 και CrossDomainFilteringLevel=4, επιβάλλοντας την ασφαλή συμπεριφορά από προεπιλογή.
Οι ρυθμίσεις Επιβολή από προεπιλογή μπορούν να παρακαμφθούν από ένα διαχειριστή για επαναφορά στην κατάσταση λειτουργίας συμβατότητας .
Οι ενημερώσεις ασφαλείας των Windows που κυκλοφόρησαν στις ή μετά τις 8 Απριλίου 2025, θα καταργήσουν την υποστήριξη για τα δευτερεύοντα κλειδιά μητρώου PacSignatureValidationLevel και CrossDomainFilteringLevel και θα επιβάλουν τη νέα ασφαλή συμπεριφορά. Δεν θα υπάρχει υποστήριξη για τη λειτουργία συμβατότητας μετά την εγκατάσταση αυτής της ενημέρωσης.
Πιθανά ζητήματα και μετριασμούς
Ενδέχεται να προκύψουν προβλήματα, όπως αποτυχία επικύρωσης PAC και φιλτραρίσματος μεταξύ δασών. Η ενημέρωση ασφαλείας της 9ης Απριλίου 2024 περιλαμβάνει εναλλακτική λογική και ρυθμίσεις μητρώου, για να μετριάσει αυτά τα προβλήματα
Ρυθμίσεις μητρώου
Αυτή η ενημέρωση ασφαλείας προσφέρεται σε συσκευές Windows (συμπεριλαμβανομένων των ελεγκτών τομέα). Τα ακόλουθα κλειδιά μητρώου που ελέγχουν τη συμπεριφορά πρέπει να αναπτυχθούν μόνο στο διακομιστή Kerberos που αποδέχεται τον εισερχόμενο έλεγχο ταυτότητας Kerberos και την εκτέλεση επικύρωσης PAC.
|
Δευτερεύον κλειδί μητρώου |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Τιμή |
PacSignatureValidationLevel |
|
|
Τύπος δεδομένων |
REG_DWORD |
|
|
Δεδομένα |
2 |
Προεπιλογή (Συμβατότητα με μη ενημερωμένο περιβάλλον) |
|
3 |
Επιβάλει |
|
|
Απαιτείται επανεκκίνηση; |
Όχι |
|
|
Δευτερεύον κλειδί μητρώου |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Τιμή |
CrossDomainFilteringLevel |
|
|
Τύπος δεδομένων |
REG_DWORD |
|
|
Δεδομένα |
2 |
Προεπιλογή (Συμβατότητα με μη ενημερωμένο περιβάλλον) |
|
4 |
Επιβάλει |
|
|
Απαιτείται επανεκκίνηση; |
Όχι |
|
Αυτό το κλειδί μητρώου μπορεί να αναπτυχθεί τόσο στους διακομιστές των Windows που αποδέχονται εισερχόμενο έλεγχο ταυτότητας Kerberos, όσο και σε οποιονδήποτε ελεγκτή τομέα των Windows που επικυρώνει τη νέα ροή σύνδεσης δελτίου δικτύου στην πορεία.
|
Δευτερεύον κλειδί μητρώου |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Τιμή |
AuditKerberosTicketLogonEvents |
|
|
Τύπος δεδομένων |
REG_DWORD |
|
|
Δεδομένα |
1 |
Προεπιλογή – καταγραφή κρίσιμων συμβάντων |
|
2 |
Καταγραφή όλων των συμβάντων Netlogon |
|
|
0 |
Να μην γίνει σύνδεση συμβάντων Netlogon |
|
|
Απαιτείται επανεκκίνηση; |
Όχι |
|
Αρχεία καταγραφής συμβάντων
Τα ακόλουθα συμβάντα ελέγχου Kerberos θα δημιουργηθούν στο διακομιστή Kerberos που δέχεται εισερχόμενο έλεγχο ταυτότητας Kerberos. Αυτός ο διακομιστής Kerberos θα πραγματοποιήσει επικύρωση PAC, η οποία χρησιμοποιεί τη νέα ροή σύνδεσης δελτίου δικτύου.
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Ενημερωτικό |
|
Προέλευση συμβάντος |
Security-Kerberos |
|
Αναγνωριστικό συμβάντος |
21 |
|
Κείμενο συμβάντος |
Κατά τη σύνδεση σε δελτίο δικτύου Kerberos, το δελτίο υπηρεσίας για το λογαριασμό <λογαριασμού> από το domain <domain> πραγματοποίησε τις ακόλουθες ενέργειες από το> ελεγκτή τομέα DC <. Για περισσότερες πληροφορίες, επισκεφθείτε https://go.microsoft.com/fwlink/?linkid=2262558. |
Αυτό το συμβάν εμφανίζεται όταν ένας ελεγκτής τομέα έλαβε μια μη θανατηφόρα ενέργεια κατά τη διάρκεια μιας ροής σύνδεσης δελτίου δικτύου. Προς το παρόν, καταγράφονται οι ακόλουθες ενέργειες:
-
Τα SID χρηστών φιλτράρονταν.
-
Οι κάρτες SID συσκευής έχουν φιλτραριστεί.
-
Η σύνθετη ταυτότητα καταργήθηκε λόγω φιλτραρίσματος SID που δεν επιτρέπει την ταυτότητα της συσκευής.
-
Η σύνθετη ταυτότητα καταργήθηκε λόγω φιλτραρίσματος SID που δεν επιτρέπει το όνομα τομέα της συσκευής.
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Σφάλμα |
|
Προέλευση συμβάντος |
Security-Kerberos |
|
Αναγνωριστικό συμβάντος |
22 |
|
Κείμενο συμβάντος |
Κατά τη σύνδεση σε δελτίο δικτύου Kerberos, το δελτίο υπηρεσίας για <λογαριασμό> από το domain <domain> απορρίφθηκε από την DC <dc> για τους παρακάτω λόγους. Για περισσότερες πληροφορίες, επισκεφθείτε https://go.microsoft.com/fwlink/?linkid=2262558. |
Αυτό το συμβάν εμφανίζεται όταν ένας ελεγκτής τομέα απέρριψε την αίτηση σύνδεσης δελτίου δικτύου για τους λόγους που εμφανίζονται στην εκδήλωση.
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση ή σφάλμα |
|
Προέλευση συμβάντος |
Security-Kerberos |
|
Αναγνωριστικό συμβάντος |
23 |
|
Κείμενο συμβάντος |
Κατά τη σύνδεση σε δελτίο δικτύου Kerberos, δεν ήταν δυνατή η προώθηση του δελτίου υπηρεσίας για <account_name> λογαριασμού από τον τομέα <domain_name> σε ελεγκτή τομέα για την εξυπηρέτηση της αίτησης. Για περισσότερες πληροφορίες, επισκεφθείτε https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Αυτό το συμβάν εμφανίζεται ως προειδοποίηση εάν η ρύθμιση PacSignatureValidationLevel AND CrossDomainFilteringLevel δεν έχει οριστεί σε Επιβολή ή αυστηρότερη. Όταν καταγράφηκε ως προειδοποίηση, το συμβάν υποδεικνύει ότι η ροή σύνδεσης δελτίου δικτύου επικοινώνησε με έναν ελεγκτή τομέα ή μια ισοδύναμη συσκευή που δεν κατανόησε τον νέο μηχανισμό. Ο έλεγχος ταυτότητας είχε τη δυνατότητα να επιστρέψει σε προηγούμενη συμπεριφορά.
-
Αυτό το συμβάν εμφανίζεται ως σφάλμα εάν η ρύθμιση PacSignatureValidationLevel OR CrossDomainFilteringLevel έχει οριστεί σε Επιβολή ή αυστηρότερη. Αυτό το συμβάν ως "σφάλμα" υποδεικνύει ότι η ροή σύνδεσης δελτίου δικτύου επικοινώνησε με έναν ελεγκτή τομέα ή μια αντίστοιχη συσκευή που δεν κατανόησε τον νέο μηχανισμό. Ο έλεγχος ταυτότητας απορρίφθηκε και δεν ήταν δυνατή η επαναφορά σε προηγούμενη συμπεριφορά.
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Σφάλμα |
|
Προέλευση συμβάντος |
Netlogon |
|
Αναγνωριστικό συμβάντος |
5842 |
|
Κείμενο συμβάντος |
Η υπηρεσία Netlogon αντιμετώπισε ένα μη αναμενόμενο σφάλμα κατά την επεξεργασία μιας αίτησης σύνδεσης δελτίου δικτύου Kerberos. Για περισσότερες πληροφορίες, επισκεφθείτε https://go.microsoft.com/fwlink/?linkid=2261497. Λογαριασμός δελτίου υπηρεσίας:> λογαριασμού < Service Ticket Domain:> τομέα < Όνομα σταθμού εργασίας:> ονόματος υπολογιστή < Κατάσταση:> κωδικού σφάλματος < |
Αυτό το συμβάν δημιουργείται κάθε φορά που το Netlogon αντιμετώπισε ένα μη αναμενόμενο σφάλμα κατά τη διάρκεια μιας αίτησης σύνδεσης δελτίου δικτύου. Αυτό το συμβάν καταγράφεται όταν το AuditKerberosTicketLogonEvents έχει οριστεί σε (1) ή νεότερη έκδοση.
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
Netlogon |
|
Αναγνωριστικό συμβάντος |
5843 |
|
Κείμενο συμβάντος |
Η υπηρεσία Netlogon απέτυχε να προωθήσει μια αίτηση σύνδεσης δελτίου δικτύου Kerberos στον ελεγκτή τομέα <dc>. Για περισσότερες πληροφορίες, επισκεφθείτε https://go.microsoft.com/fwlink/?linkid=2261497. Λογαριασμός δελτίου υπηρεσίας:> λογαριασμού < Service Ticket Domain:> τομέα < Όνομα σταθμού εργασίας:> ονόματος υπολογιστή < |
Αυτό το συμβάν δημιουργείται κάθε φορά που το Netlogon δεν μπορούσε να ολοκληρώσει τη σύνδεση με δελτίο δικτύου, επειδή ένας ελεγκτής τομέα δεν καταλάβαινε τις αλλαγές. Λόγω περιορισμών στο πρωτόκολλο Netlogon, το πρόγραμμα-πελάτης Netlogon δεν είναι σε θέση να προσδιορίσει εάν ο ελεγκτής τομέα στον οποίο συνομιλεί απευθείας το πρόγραμμα-πελάτης Netlogon είναι αυτός που δεν κατανοεί τις αλλαγές ή εάν είναι ένας ελεγκτής τομέα κατά μήκος της αλυσίδας προώθησης που δεν κατανοεί τις αλλαγές.
-
Εάν ο τομέας service ticket είναι ίδιος με τον τομέα του λογαριασμού υπολογιστή, είναι πιθανό ότι ο ελεγκτής τομέα στο αρχείο καταγραφής συμβάντων δεν κατανοεί τη ροή σύνδεσης δελτίου δικτύου.
-
Εάν ο τομέας service ticket είναι διαφορετικός από τον τομέα του λογαριασμού υπολογιστή, ένας από τους ελεγκτές τομέα στην πορεία από τον τομέα του λογαριασμού υπολογιστή στον τομέα του λογαριασμού υπηρεσίας δεν κατάλαβε τη ροή σύνδεσης δελτίου δικτύου
Αυτό το συμβάν είναι απενεργοποιημένο από προεπιλογή. Η Microsoft συνιστά στους χρήστες να ενημερώσουν πρώτα ολόκληρο τον στόλο τους προτού ενεργοποιήσουν την εκδήλωση.
Αυτό το συμβάν καταγράφεται όταν η ρύθμιση AuditKerberosTicketLogonEvents έχει οριστεί σε (2).
Συνήθεις ερωτήσεις (Συνήθεις ερωτήσεις)
Ένας ελεγκτής τομέα που δεν ενημερώνεται δεν θα αναγνωρίσει αυτήν τη νέα δομή αίτησης. Αυτό θα προκαλέσει την αποτυχία του ελέγχου ασφαλείας. Σε κατάσταση λειτουργίας συμβατότητας, θα χρησιμοποιηθεί η παλιά δομή αίτησης. Αυτό το σενάριο εξακολουθεί να είναι ευάλωτο σε CVE-2024-26248 και CVE-2024-29056.
Ναι. Αυτό συμβαίνει επειδή η νέα ροή σύνδεσης δελτίου δικτύου ενδέχεται να πρέπει να δρομολογηθεί σε πολλούς τομείς για να φτάσει στον τομέα του λογαριασμού υπηρεσίας.
Η επικύρωση PAC ενδέχεται να παραλειφθεί σε ορισμένες περιπτώσεις, συμπεριλαμβανομένων, ενδεικτικά, των ακόλουθων σεναρίων:
-
Εάν η υπηρεσία έχει δικαιώματα TCB. Γενικά, οι υπηρεσίες που εκτελούνται στο περιβάλλον του λογαριασμού SYSTEM (όπως τα κοινόχρηστα στοιχεία αρχείων SMB ή οι διακομιστές LDAP) έχουν αυτό το δικαίωμα.
-
Εάν η υπηρεσία εκτελείται από το Χρονοδιάγραμμα εργασιών.
Διαφορετικά, η επικύρωση PAC εκτελείται σε όλες τις εισερχόμενες ροές ελέγχου ταυτότητας Kerberos.
Αυτά τα CVE περιλαμβάνουν έναν τοπικό προβιβασμό δικαιωμάτων, όπου ένας κακόβουλος ή παραβιασμένος λογαριασμός υπηρεσίας που εκτελείται στο Windows Workstation επιχειρεί να αυξήσει το προνόμιό του για να αποκτήσει δικαιώματα τοπικής διαχείρισης. Αυτό σημαίνει ότι επηρεάζεται μόνο ο έλεγχος ταυτότητας εισερχομένων Kerberos που δέχεται το Windows Workstation.
