Mis à jour
10 avril 2023: Mise à jour de la « troisième phase de déploiement » du 11 avril 2023 au 13 juin 2023 dans la section « Minutage des mises à jour pour résoudre le problème CVE-2022-37967 ».
Dans cet article
Résumé
Les mises à jour Windows du 8 novembre 2022 traitent du contournement de la sécurité et des vulnérabilités d’élévation de privilèges avec des signatures de certificat d’attribut de privilège (PAC). Cette mise à jour de sécurité corrige les vulnérabilités Kerberos dans lesquelles un attaquant pourrait modifier numériquement les signatures PAC, en augmentant ses privilèges.
Pour sécuriser votre environnement, installez cette mise à jour Windows sur tous les appareils, y compris les contrôleurs de domaine Windows. Tous les contrôleurs de domaine de votre domaine doivent d’abord être mis à jour avant de passer en mode Appliqué.
Pour en savoir plus sur ces vulnérabilités, consultez CVE-2022-37967.
Procédure à suivre
Pour protéger votre environnement et éviter les pannes, nous vous recommandons de suivre les étapes suivantes :
-
METTRE À JOUR vos contrôleurs de domaine Windows avec une mise à jour Windows publiée le ou après le 8 novembre 2022.
-
FAITES PASSER vos contrôleurs de domaine Windows en mode Audit à l’aide de la section Paramètre de clé de Registre .
-
SURVEILLER les événements enregistrés en mode Audit pour sécuriser votre environnement.
-
ACTIVER Mode d’application pour traiter CVE-2022-37967 dans votre environnement.
RemarqueL’étape 1 de l’installation des mises à jour publiées à partir du 8 novembre 2022 ne traite PAS des problèmes de sécurité dans CVE-2022-37967 pour les appareils Windows par défaut. Pour atténuer complètement le problème de sécurité pour tous les appareils, vous devez passer au mode Audit (décrit à l’étape 2) suivi du mode appliqué (décrit à l’étape 4) dès que possible sur tous les contrôleurs de domaine Windows.
Important À partir de juillet 2023, le mode application sera activé sur tous les contrôleurs de domaine Windows et bloquera les connexions vulnérables à partir d’appareils non conformes. À ce stade, vous ne pourrez pas désactiver la mise à jour, mais vous pouvez revenir au paramètre du mode Audit. Le mode audit sera supprimé en octobre 2023, comme indiqué dans la sectionCalendrier des mises à jour pour traiter la vulnérabilité Kerberos CVE-2022-37967.
Calendrier des mises à jour pour traiter CVE-2022-37967
Les mises à jour seront publiées par phases : la phase initiale des mises à jour publiées le 8 novembre 2022 ou après celle-ci et la phase d’application des mises à jour publiées le ou après le 13 juin 2023.
La phase de déploiement initiale commence par les mises à jour publiées le 8 novembre 2022 et se poursuit avec les mises à jour Windows ultérieures jusqu’à la phase d’application. Cette mise à jour ajoute des signatures à la mémoire tampon PAC Kerberos, mais ne vérifie pas les signatures pendant l’authentification. Par conséquent, le mode sécurisé est désactivé par défaut.
Cette mise à jour :
-
Ajoute des signatures PAC à la mémoire tampon PAC Kerberos.
-
Ajoute des mesures pour traiter la vulnérabilité de contournement de sécurité dans le protocole Kerberos.
La deuxième phase de déploiement commence par les mises à jour publiées le 13 décembre 2022. Ces mises à jour et celles ultérieures apportent des modifications au protocole Kerberos pour auditer les appareils Windows en faisant passer les contrôleurs de domaine Windows en mode Audit.
Avec cette mise à jour, tous les appareils seront en mode Audit par défaut :
-
Si la signature est manquante ou non valide, l’authentification est autorisée. En outre, un journal d’audit sera créé.
-
Si la signature est manquante, déclenchez un événement et autorisez l’authentification.
-
Si la signature est présente, validez-la. Si la signature est incorrecte, déclenchez un événement et autorisezl’authentification.
Les mises à jour Windows publiées à partir du 13 juin 2023 effectueront les opérations suivantes :
-
Supprimez la possibilité de désactiver l’ajout de signature PAC en affectant à la sous-cléKrbtgtFullPacSignature la valeur 0.
Les mises à jour Windows publiées le ou après le 11 juillet 2023 effectueront les opérations suivantes :
-
Supprime la possibilité de définir la valeur 1 pour la sous-clé KrbtgtFullPacSignature.
-
Fait passer la mise à jour en mode d’application (par défaut) (KrbtgtFullPacSignature = 3) qui peut être remplacée par un administrateur avec un paramètre d’audit explicite.
Les mises à jour Windows publiées le ou après le 10 octobre 2023 effectueront les opérations suivantes :
-
Supprime la prise en charge de la sous-clé de Registre KrbtgtFullPacSignature.
-
Supprime la prise en charge du mode Audit.
-
L’authentification sera refusée à tous les tickets de service sans les nouvelles signatures PAC.
Instructions de déploiement
Pour déployer les mises à jour Windows du 8 novembre 2022 ou ultérieures, procédez comme suit :
-
METTEZ À JOURvos contrôleurs de domaine Windows avec une mise à jour publiée le 8 novembre 2022 ou après.
-
FAITES PASSER vos contrôleurs de domaine en mode Audit à l’aide de la section Paramètre de clé de Registre.
-
SURVEILLER les événements enregistrés pendant le mode Audit pour sécuriser votre environnement.
-
ACTIVER Mode d’application pour traiter CVE-2022-37967 dans votre environnement.
ÉTAPE 1 : MISE À JOUR
Déployez les mises à jour du 8 novembre 2022 ou ultérieures sur tous les contrôleurs de domaine Windows applicables. Après le déploiement de la mise à jour, les signatures des contrôleurs de domaine Windows qui ont été mises à jour sont ajoutées à la mémoire tampon PAC Kerberos et ne sont pas sécurisées par défaut (la signature PAC n’est pas validée).
-
Lors de la mise à jour, veillez à conserver la valeur de Registre KrbtgtFullPacSignature dans l’état par défaut jusqu’à ce que tous les contrôleurs de domaine Windows soient mis à jour.
ÉTAPE 2 : DÉPLACER
Une fois les contrôleurs de domaine Windows mis à jour, basculez en mode Audit en remplaçant la valeur KrbtgtFullPacSignature par 2.
ÉTAPE 3 : RECHERCHER/SURVEILLER
Identifiez les zones ne disposant pas de signatures PAC manquantes ou dont la validation échoue par le biais des journaux des événements déclenchées en mode Audit.
-
Assurez-vous que le niveau fonctionnel du domaine est défini sur au moins 2008 ou plus avant de passer en mode Application. Le passage en mode Application avec des domaines au niveau fonctionnel de domaine 2003 peut entraîner des échecs d’authentification.
-
Les événements d’audit s’affichent si votre domaine n’est pas entièrement mis à jour ou si des tickets de service précédemment émis en attente existent toujours dans votre domaine.
-
Continuez à surveiller les journaux des événements supplémentaires qui indiquent les signatures PAC manquantes ou les échecs de validation des signatures PAC existantes.
-
Une fois que le domaine entier est mis à jour et que tous les tickets en attente ont expiré, les événements d’audit ne doivent plus apparaître. Ensuite, vous devriez être en mesure de passer en mode Application sans échec.
ÉTAPE 4 : ACTIVER
Activez le mode d’application pour traiter CVE-2022-37967 dans votre environnement.
-
Une fois que tous les événements d’audit ont été résolus et n’apparaissent plus, faites passer vos domaines en mode Application en mettant à jour la valeur de Registre KrbtgtFullPacSignature comme décrit dans la section Paramètres de clé de Registre;.
-
Si un ticket de service a une signature PAC non valide ou qu’il manque des signatures PAC, la validation échoue et un événement d’erreur est enregistré.
Paramètres de la clé de Registre
Protocole Kerberos
Une fois l’installation des mises à jour Windows du 8 novembre 2022 ou ultérieures effectuée, les clés de Registre suivantes sont disponibles pour le protocole Kerberos :
-
KrbtgtFullPacSignature
Cette clé de Registre est utilisée pour contrôler le déploiement des modifications Kerberos. Cette clé de Registre est temporaire et ne sera plus lue après la date d’application complète du 10 octobre 2023.Clé de Registre
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Valeur
KrbtgtFullPacSignature
Type de données
REG_DWORD
Données
0 – Désactivé
1 – Les nouvelles signatures sont ajoutées, mais pas vérifiées. (Paramètre par défaut)
2 – Mode d’audit. Les nouvelles signatures sont ajoutées et vérifiées si elles sont présentes. Si la signature est manquante ou non valide, l’authentification est autorisée et les journaux d’audit sont créés.
3 – Mode d’application. Les nouvelles signatures sont ajoutées et vérifiées si elles sont présentes. Si la signature est manquante ou non valide, l’authentification est refusée et les journaux d’audit sont créés.
Redémarrage requis ?
Non
Remarque Si vous devez modifier la valeur de Registre KrbtgtFullPacSignature, ajoutez manuellement, puis configurez la clé de Registre pour remplacer la valeur par défaut.
Événements Windows liés à CVE-2022-37967
En mode Audit, vous pouvez trouver l’une des erreurs suivantes si des signatures PAC sont manquantes ou non valides. Si ce problème persiste pendant le mode d’application, ces événements sont consignés en tant qu’erreurs.
Si vous trouvez une erreur sur votre appareil, il est probable que tous les contrôleurs de domaine Windows de votre domaine ne soient pas à jour suite à une mise à jour Windows du 8 novembre 2022 ou ultérieure. Pour atténuer les problèmes, vous devez examiner votre domaine plus en détail pour rechercher les contrôleurs de domaine Windows qui ne sont pas à jour.
Remarque Si vous trouvez une erreur avec l’ID d’événement 42, consultez KB5021131 : Comment gérer les modifications du protocole Kerberos liées à CVE-2022-37966.
Journal des événements |
Système |
Type d’événement |
Avertissement |
Source de l’événement |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID d’événement : |
43 |
Texte de l’événement |
Le centre de distribution de clés (KDC) a détecté un ticket qu’il n’a pas pu valider la signature PAC complète. Consultez https://go.microsoft.com/fwlink/?linkid=2210019 pour en savoir plus. Client : <realm>/<Name> |
Journal des événements |
Système |
Type d’événement |
Avertissement |
Source de l’événement |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID d’événement : |
44 |
Texte de l’événement |
Le centre de distribution de clés (KDC) a détecté un ticket qui ne contenait pas la signature PAC complète. Pour en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2210019. Client : <realm>/<Name> |
Appareils tiers implémentant le protocole Kerberos
Les domaines qui ont des contrôleurs de domaine tiers peuvent voir des erreurs en mode Application.
Les domaines avec des clients tiers peuvent prendre plus de temps à être entièrement effacés des événements d’audit après l’installation d’une mise à jour Windows du 8 novembre 2022 ou ultérieure.
Contactez le fabricant de l’appareil (OEM) ou le fournisseur de logiciels pour déterminer si son logiciel est compatible avec la dernière modification du protocole.
Pour plus d’informations sur les mises à jour de protocole, consultez la rubrique Protocole Windows sur le site web de Microsoft.
Glossaire
Kerberos est un protocole d’authentification réseau informatique qui fonctionne sur la base de « tickets » pour permettre aux nœuds qui communiquent sur un réseau de prouver leur identité entre eux de manière sécurisée.
Il s’agit du service Kerberos qui implémente les services d’authentification et d’octroi de tickets spécifiés dans le protocole Kerberos. Le service s’exécute sur les ordinateurs sélectionnés par l’administrateur du domaine. Il n’est pas présent sur tous les ordinateurs du réseau. Il doit avoir accès à une base de données de compte du domaine qu’il sert. Les KDC sont intégrés au rôle de contrôleur de domaine. Il s’agit d’un service réseau qui fournit des tickets aux clients pour les utiliser pour l’authentification auprès des services.
Le certificat d’attribut de privilège (PAC) est une structure qui transmet les informations relatives à l’autorisation fournies par les contrôleurs de domaine. Pour plus d’informations, consultez Privilege Attribute Certificate Data Structure.
Il s’agit d’un type spécial de ticket qui peut être utilisé pour obtenir d’autres tickets. Le ticket d’octroi de tickets (TGT) est obtenu après l’authentification initiale dans l’échange du service d’authentification (AS). Par la suite, les utilisateurs n’ont pas besoin de présenter leurs informations d’identification, mais peuvent utiliser le TGT pour obtenir les tickets ultérieurs.