Resumen
Las actualizaciones de seguridad de Windows publicadas el 9 de abril de 2024 o después abordan la elevación de vulnerabilidades de privilegios con el protocolo de validación KERBEROS PAC. El certificado de atributo de privilegio (PAC) es una extensión a los vales de servicio kerberos. Contiene información sobre el usuario de autenticación y sus privilegios. Esta actualización corrige una vulnerabilidad en la que el usuario del proceso puede suplantar la firma para omitir las comprobaciones de seguridad de validación de firma PAC agregadas en KB5020805: Cómo administrar los cambios del protocolo Kerberos relacionados con CVE-2022-37967.
Para obtener más información sobre estas vulnerabilidades, visita CVE-2024-26248 y CVE-2024-29056.
Tomar medidas
IMPORTANTEEl paso 1 para instalar la actualización publicada el 9 de abril de 2024 o después NO solucionará completamente los problemas de seguridad de CVE-2024-26248 y CVE-2024-29056 de forma predeterminada. Para mitigar completamente el problema de seguridad para todos los dispositivos, debes pasar al modo obligatorio (que se describe en el paso 3) una vez que el entorno esté completamente actualizado.
Para ayudar a proteger su entorno y evitar interrupciones, le recomendamos que siga estos pasos:
-
ACTUALIZAR: Los controladores de dominio de Windows y los clientes Windows deben actualizarse con una actualización de seguridad de Windows publicada el 9 de abril de 2024 o después.
-
MONITOR: Los eventos de auditoría serán visibles en el modo de compatibilidad para identificar dispositivos no actualizados.
-
HABILITAR: Después de habilitar completamente el modo de obligatoriedad en su entorno, se mitigarán las vulnerabilidades descritas en CVE-2024-26248 y CVE-2024-29056 .
Fondo
Cuando una estación de trabajo de Windows realiza la validación de PAC en un flujo de autenticación Kerberos de entrada, realiza una nueva solicitud (inicio de sesión de vale de red) para validar el vale de servicio. La solicitud se reenvía inicialmente a un controlador de dominio (DC) del dominio Workstations a través de Netlogon.
Si la cuenta de servicio y la cuenta de equipo pertenecen a diferentes dominios, la solicitud se realiza a través de las confianzas necesarias a través de Netlogon hasta que llega al dominio de servicios; De lo contrario, el controlador de dominio en el dominio de cuentas de equipos realiza la validación. A continuación, el DC llama al Centro de distribución de claves (KDC) para validar las firmas PAC del vale de servicio y envía información del usuario y del dispositivo de nuevo a la estación de trabajo.
Si la solicitud y la respuesta se reenvía a través de una confianza (en el caso de que la cuenta de servicio y la cuenta de estación de trabajo pertenecen a dominios diferentes), cada dc en la confianza filtra los datos de autorización que le pertenecen.
Escala de tiempo de los cambios
Novedades se publican de la siguiente manera. Tenga en cuenta que esta programación de publicación de versiones podría revisarse según sea necesario.
La fase de implementación inicial comienza con las actualizaciones publicadas el 9 de abril de 2024. Esta actualización agrega un nuevo comportamiento que impide la elevación de vulnerabilidades de privilegios descritas en CVE-2024-26248 y CVE-2024-29056 , pero no la aplica a menos que se actualicen tanto los controladores de dominio de Windows como los clientes Windows del entorno.
Para habilitar el nuevo comportamiento y mitigar las vulnerabilidades, debes asegurarte de que se actualice todo el entorno de Windows (incluidos los controladores de dominio y los clientes). Los eventos de auditoría se registrarán para ayudar a identificar los dispositivos no actualizados.
Novedades publicó el 15 de octubre de 2024 o después, moverá todos los controladores de dominio y clientes de Windows en el entorno al modo Obligatorio cambiando la configuración de subclave del Registro a PacSignatureValidationLevel=3 y CrossDomainFilteringLevel=4, lo que exige el comportamiento seguro de forma predeterminada.
El administrador puede anular la configuración impuesta por predeterminado para revertir al modo de compatibilidad .
Las actualizaciones de seguridad de Windows publicadas el 8 de abril de 2025 o después quitarán la compatibilidad con las subclaves del Registro PacSignatureValidationLevel y CrossDomainFilteringLevel y aplicarán el nuevo comportamiento seguro. No se admitirá el modo de compatibilidad después de instalar esta actualización.
Posibles problemas y mitigaciones
Pueden surgir problemas potenciales, como la validación de PAC y errores de filtrado entre bosques. La actualización de seguridad del 9 de abril de 2024 incluye lógica de reserva y configuración del Registro para ayudar a mitigar estos problemas
Configuración del Registro
Esta actualización de seguridad se ofrece a dispositivos Windows (incluidos los controladores de dominio). Las siguientes claves del Registro que controlan el comportamiento solo necesitan implementarse en el servidor Kerberos que acepta la autenticación Kerberos entrante y realiza la validación de PAC.
|
Subclave del Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Valor |
PacSignatureValidationLevel |
|
|
Tipo de datos |
REG_DWORD |
|
|
Datos |
2 |
Valor predeterminado (compatibilidad con entorno no coincidente) |
|
3 |
Exigir |
|
|
¿Es necesario reiniciar? |
No |
|
|
Subclave del Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Valor |
CrossDomainFilteringLevel |
|
|
Tipo de datos |
REG_DWORD |
|
|
Datos |
2 |
Valor predeterminado (compatibilidad con entorno no coincidente) |
|
4 |
Exigir |
|
|
¿Es necesario reiniciar? |
No |
|
Esta clave del Registro se puede implementar en ambos servidores de Windows que acepten la autenticación Kerberos entrante, así como en cualquier controlador de dominio de Windows que valide el nuevo flujo de inicio de sesión de vale de red durante el proceso.
|
Subclave del Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Valor |
AuditKerberosTicketLogonEvents |
|
|
Tipo de datos |
REG_DWORD |
|
|
Datos |
1 |
Valor predeterminado: registrar eventos críticos |
|
2 |
Registrar todos los eventos de Netlogon |
|
|
0 |
No registrar eventos de Netlogon |
|
|
¿Es necesario reiniciar? |
No |
|
Registros de eventos
Los siguientes eventos de auditoría de Kerberos se generarán en el servidor kerberos que acepta la autenticación Kerberos entrante. Este servidor Kerberos estará realizando la validación pac, que utiliza el nuevo flujo de inicio de sesión de vale de red.
|
Registro de eventos |
Sistema |
|
Tipos de eventos |
Informativo |
|
Origen del evento |
Security-Kerberos |
|
Id. del evento |
21 |
|
Texto del evento |
Durante el inicio de sesión de vale de red de Kerberos, el vale de servicio para el> de cuenta de <de cuenta del> de dominio <dominio tenía las siguientes acciones realizadas por> controlador de dominio de DC <. Para obtener más información, visite https://go.microsoft.com/fwlink/?linkid=2262558. |
Este evento se muestra cuando un controlador de dominio tomó una acción no fatal durante un flujo de inicio de sesión de vale de red. A partir de ahora, se registran las siguientes acciones:
-
Se filtraron los SID de usuario.
-
Se filtraron los SID de dispositivo.
-
La identidad compuesta se eliminó debido a que el filtrado SID no permite la identidad del dispositivo.
-
La identidad compuesta se eliminó debido a que el filtrado SID no permite el nombre de dominio del dispositivo.
|
Registro de eventos |
Sistema |
|
Tipos de eventos |
Error |
|
Origen del evento |
Security-Kerberos |
|
Id. del evento |
22 |
|
Texto del evento |
Durante el inicio de sesión de vale de red kerberos, dc <> de dc denegó el vale de servicio para el> de cuenta de <de cuenta del> de dominio <dominio. Para obtener más información, visite https://go.microsoft.com/fwlink/?linkid=2262558. |
Este evento se muestra cuando un controlador de dominio deniega la solicitud de inicio de sesión de vale de red por las razones que se muestran en el evento.
|
Registro de eventos |
Sistema |
|
Tipos de eventos |
Advertencia o error |
|
Origen del evento |
Security-Kerberos |
|
Id. del evento |
23 |
|
Texto del evento |
Durante el inicio de sesión de vale de red kerberos, el vale de servicio para la <account_name> de cuenta del <domain_name> de dominio no se pudo reenviar a un controlador de dominio para dar servicio a la solicitud. Para obtener más información, visite https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Este evento se muestra como una advertencia si PacSignatureValidationLevel AND CrossDomainFilteringLevel no se establecen en Enforce o stricter. Cuando se registra como una advertencia, el evento indica que los flujos de inicio de sesión de vale de red se han puesto en contacto con un controlador de dominio o un dispositivo equivalente que no entendía el nuevo mecanismo. Se permitió que la autenticación se revierta al comportamiento anterior.
-
Este evento se muestra como un error si PacSignatureValidationLevel O CrossDomainFilteringLevel se establece en Enforce o stricter. Este evento como "error" indica que el flujo de inicio de sesión de vale de red contactó con un controlador de dominio o dispositivo equivalente que no comprendía el nuevo mecanismo. Se deniega la autenticación y no se puede revertir al comportamiento anterior.
|
Registro de eventos |
Sistema |
|
Tipos de eventos |
Error |
|
Origen del evento |
Netlogon |
|
Id. del evento |
5842 |
|
Texto del evento |
El servicio Netlogon encontró un error inesperado al procesar una solicitud de inicio de sesión de vale de red Kerberos. Para obtener más información, visite https://go.microsoft.com/fwlink/?linkid=2261497. Cuenta de vale de servicio:> de cuenta de < Dominio de vale de servicio:> de dominio < Nombre de la estación de trabajo: <nombre de equipo> Estado:> código de error < |
Este evento se genera siempre que Netlogon encontró un error inesperado durante una solicitud de inicio de sesión de vale de red. Este evento se registra cuando AuditKerberosTicketLogonEvents se establece en (1) o superior.
|
Registro de eventos |
Sistema |
|
Tipos de eventos |
Advertencia |
|
Origen del evento |
Netlogon |
|
Id. del evento |
5843 |
|
Texto del evento |
El servicio Netlogon no pudo reenviar una solicitud de inicio de sesión de vale de red kerberos al controlador de dominio <dc>. Para obtener más información, visite https://go.microsoft.com/fwlink/?linkid=2261497. Cuenta de vale de servicio:> de cuenta de < Dominio de vale de servicio:> de dominio < Nombre de la estación de trabajo: <nombre de equipo> |
Este evento se genera siempre que Netlogon no pudo completar el inicio de sesión de vale de red porque un controlador de dominio no comprendía los cambios. Debido a las limitaciones del protocolo Netlogon, el cliente de Netlogon no puede determinar si el controlador de dominio al que el cliente de Netlogon está hablando directamente es aquel que no entiende los cambios, o si es un controlador de dominio a lo largo de la cadena de reenvío que no comprende los cambios.
-
Si el dominio de vale de servicio es el mismo que el dominio de la cuenta del equipo, es probable que el controlador de dominio en el registro de eventos no comprenda el flujo de inicio de sesión de vale de red.
-
Si el dominio de vale de servicio es diferente del dominio de la cuenta de equipo, uno de los controladores de dominio que va desde el dominio de la cuenta de equipo hasta el dominio de la cuenta de servicio no comprendía el flujo de inicio de sesión de vale de red
Este evento está desactivado de forma predeterminada. Microsoft recomienda que los usuarios actualicen primero toda la flota antes de activar el evento.
Este evento se registra cuando AuditKerberosTicketLogonEvents se establece en (2).
Preguntas más frecuentes (P+F)
Un controlador de dominio que no se actualice no reconocerá esta nueva estructura de solicitud. Esto provocará un error en la comprobación de seguridad. En el modo de compatibilidad, se usará la estructura de solicitudes antigua. Este escenario es todavía vulnerable a CVE-2024-26248 y CVE-2024-29056.
Sí. Esto se debe a que el nuevo flujo de inicio de sesión de vale de red puede tener que redirigirse entre dominios para llegar al dominio de la cuenta de servicio.
La validación de PAC puede omitirse en determinadas circunstancias, incluidas, entre otras, las siguientes situaciones:
-
Si el servicio tiene el privilegio TCB. Por lo general, los servicios que se ejecutan en el contexto de la cuenta SYSTEM (como los recursos compartidos de archivos SMB o los servidores LDAP) tienen este privilegio.
-
Si el servicio se ejecuta desde el Programador de tareas.
En caso contrario, se realiza la validación de PAC en todos los flujos de autenticación Kerberos entrantes.
Estos CVEs implican una elevación local de privilegios donde una cuenta de servicio malintencionada o comprometida que se ejecuta en Windows Workstation intenta elevar su privilegio para obtener derechos de administración local. Esto significa que solo la estación de trabajo de Windows que acepta autenticación Kerberos entrante se ve afectada.
