Résumé
Les mises à jour de sécurité Windows publiées le ou après le 9 avril 2024 corrigent les vulnérabilités d’élévation de privilèges avec le protocole de validation PAC Kerberos. Le certificat d’attribut de privilège (PAC) est une extension des tickets de service Kerberos. Il contient des informations sur l’utilisateur d’authentification et ses privilèges. Cette mise à jour corrige une vulnérabilité dans laquelle l’utilisateur du processus peut usurper la signature pour contourner les vérifications de sécurité de validation de signature PAC ajoutées dans KB5020805 : Comment gérer les modifications de protocole Kerberos liées à CVE-2022-37967.
Pour en savoir plus sur ces vulnérabilités, consultez CVE-2024-26248 et CVE-2024-29056.
Procédure à suivre
IMPORTANT L’étape 1 pour installer la mise à jour publiée le ou après le 9 avril 2024 ne traite PAS entièrement les problèmes de sécurité dans CVE-2024-26248 et CVE-2024-29056 par défaut. Pour atténuer entièrement le problème de sécurité pour tous les appareils, vous devez passer en mode Appliqué (décrit à l’étape 3) une fois que votre environnement est entièrement mis à jour.
Pour protéger votre environnement et éviter les pannes, nous vous recommandons les étapes suivantes :
-
METTRE À JOUR: Les contrôleurs de domaine Windows et les clients Windows doivent être mis à jour avec une mise à jour de sécurité Windows publiée le ou après le 9 avril 2024.
-
MONITEUR: Les événements d’audit seront visibles en mode de compatibilité pour identifier les appareils non mis à jour.
-
ACTIVER: Une fois le mode d’application entièrement activé dans votre environnement, les vulnérabilités décrites dans CVE-2024-26248 et CVE-2024-29056 seront atténuées.
Arrière-plan
Lorsqu’une station de travail Windows effectue une validation PAC sur un flux d’authentification Kerberos entrant, elle effectue une nouvelle requête (ouverture de session de ticket réseau) pour valider le ticket de service. La requête est initialement transférée à un contrôleur de domaine (DC) du domaine Stations de travail via Netlogon.
Si le compte de service et le compte d’ordinateur appartiennent à différents domaines, la requête est transmise sur les approbations nécessaires via Netlogon jusqu’à ce qu’elle atteigne le domaine de services ; sinon, le contrôleur de domaine dans le domaine des comptes d’ordinateurs effectue la validation. Le contrôleur de domaine appelle ensuite le centre de distribution de clés (KDC) pour valider les signatures PAC du ticket de service et renvoie les informations sur l’utilisateur et l’appareil à la station de travail.
Si la demande et la réponse sont transférées sur une approbation (dans le cas où le compte de service et le compte de station de travail appartiennent à des domaines différents), chaque contrôleur de domaine dans l’approbation filtre les données d’autorisation qui s’y rapportent.
Chronologie des modifications
Mises à jour sont libérés comme suit. Notez que cette planification de mise en production peut être révisée en fonction des besoins.
La phase de déploiement initiale commence par les mises à jour publiées le 9 avril 2024. Cette mise à jour ajoute un nouveau comportement qui empêche les vulnérabilités d’élévation de privilège décrites dans CVE-2024-26248 et CVE-2024-29056 , mais ne l’applique pas, sauf si les contrôleurs de domaine Windows et les clients Windows de l’environnement sont mis à jour.
Pour activer le nouveau comportement et atténuer les vulnérabilités, vous devez vous assurer que l’ensemble de votre environnement Windows (y compris les contrôleurs de domaine et les clients) est mis à jour. Les événements d’audit seront enregistrés pour aider à identifier les appareils qui ne sont pas mis à jour.
Mises à jour publiée le ou après le 15 octobre 2024, déplace tous les contrôleurs de domaine Et clients Windows de l’environnement en mode Appliqué en modifiant les paramètres de sous-clé de Registre sur PacSignatureValidationLevel=3 et CrossDomainFilteringLevel=4, en appliquant le comportement sécurisé par défaut.
Les paramètres Appliqués par défaut peuvent être remplacés par un administrateur pour revenir au mode de compatibilité .
Les mises à jour de sécurité Windows publiées le ou après le 8 avril 2025 suppriment la prise en charge des sous-clés de Registre PacSignatureValidationLevel et CrossDomainFilteringLevel et appliquent le nouveau comportement sécurisé. Il n’y aura aucune prise en charge du mode de compatibilité après l’installation de cette mise à jour.
Problèmes potentiels et atténuations
Des problèmes potentiels peuvent survenir, notamment des échecs de validation pac et de filtrage inter-forêts. La mise à jour de sécurité du 9 avril 2024 inclut la logique de secours et les paramètres du Registre pour aider à atténuer ces problèmes
Paramètres du Registre
Cette mise à jour de sécurité est proposée aux appareils Windows (y compris les contrôleurs de domaine). Les clés de Registre suivantes qui contrôlent le comportement doivent uniquement être déployées sur le serveur Kerberos qui accepte l’authentification Kerberos entrante et effectue la validation PAC.
|
Sous-clé de Registre |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Valeur |
PacSignatureValidationLevel |
|
|
Type de données |
REG_DWORD |
|
|
Données |
2 |
Par défaut (Compatibilité avec l’environnement non corrigé) |
|
3 |
Appliquer |
|
|
Redémarrage nécessaire ? |
Non |
|
|
Sous-clé de Registre |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Valeur |
CrossDomainFilteringLevel |
|
|
Type de données |
REG_DWORD |
|
|
Données |
2 |
Par défaut (Compatibilité avec l’environnement non corrigé) |
|
4 |
Appliquer |
|
|
Redémarrage nécessaire ? |
Non |
|
Cette clé de Registre peut être déployée sur les deux serveurs Windows acceptant l’authentification Kerberos entrante, ainsi que sur tout contrôleur de domaine Windows qui valide le nouveau flux d’ouverture de session de ticket réseau en cours de route.
|
Sous-clé de Registre |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Valeur |
AuditKerberosTicketLogonEvents |
|
|
Type de données |
REG_DWORD |
|
|
Données |
1 |
Par défaut : journaliser les événements critiques |
|
2 |
Journaliser tous les événements Netlogon |
|
|
0 |
Ne pas journaliser les événements Netlogon |
|
|
Redémarrage nécessaire ? |
Non |
|
Journaux d’événements
Les événements d’audit Kerberos suivants sont générés sur le serveur Kerberos qui accepte l’authentification Kerberos entrante. Ce serveur Kerberos effectue la validation PAC, qui utilise le nouveau flux d’ouverture de session de ticket réseau.
|
Journal des événements |
Système |
|
Type d’événement |
Information |
|
Source de l’événement |
Security-Kerberos |
|
ID d’événement |
21 |
|
Texte de l’événement |
Lors de l’ouverture de session de ticket réseau Kerberos, le ticket de service pour le compte <> à partir du domaine <domaine> a été effectué par dc <domain controller>. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2262558. |
Cet événement s’affiche lorsqu’un contrôleur de domaine a effectué une action non fatale pendant un flux d’ouverture de session de ticket réseau. À partir de maintenant, les actions suivantes sont journalisées :
-
Les SID utilisateur ont été filtrés.
-
Les SID d’appareil ont été filtrés.
-
L’identité composée a été supprimée en raison du filtrage SID qui interdit l’identité de l’appareil.
-
L’identité composée a été supprimée en raison du filtrage SID qui interdit le nom de domaine de l’appareil.
|
Journal des événements |
Système |
|
Type d’événement |
Error |
|
Source de l’événement |
Security-Kerberos |
|
ID d’événement |
22 |
|
Texte de l’événement |
Lors de l’ouverture de session de ticket réseau Kerberos, le ticket de service pour l'> compte de compte <à partir de l'> de domaine <de domaine a été refusé par dc <dc> pour les raisons ci-dessous. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2262558. |
Cet événement s’affiche lorsqu’un contrôleur de domaine a refusé la demande d’ouverture de session de ticket réseau pour les raisons indiquées dans l’événement.
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement ou erreur |
|
Source de l’événement |
Security-Kerberos |
|
ID d’événement |
23 |
|
Texte de l’événement |
Lors de l’ouverture de session de ticket réseau Kerberos, le ticket de service pour le compte <account_name> à partir du <domain_name> de domaine n’a pas pu être transféré à un contrôleur de domaine pour traiter la demande. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Cet événement est affiché sous la forme d’un avertissement si PacSignatureValidationLevel et CrossDomainFilteringLevel ne sont pas définis sur Enforce ou plus strict. Lorsqu’il est enregistré en tant qu’avertissement, l’événement indique que les flux d’ouverture de session de ticket réseau ont contacté un contrôleur de domaine ou un appareil équivalent qui n’a pas compris le nouveau mécanisme. L’authentification a été autorisée à revenir au comportement précédent.
-
Cet événement s’affiche comme une erreur si PacSignatureValidationLevel OU CrossDomainFilteringLevel est défini sur Enforce ou plus strict. Cet événement en tant que « erreur » indique que le flux d’ouverture de session de ticket réseau a contacté un contrôleur de domaine ou un appareil équivalent qui ne comprenait pas le nouveau mécanisme. L’authentification a été refusée et n’a pas pu revenir au comportement précédent.
|
Journal des événements |
Système |
|
Type d’événement |
Error |
|
Source de l’événement |
Netlogon |
|
ID d’événement |
5842 |
|
Texte de l’événement |
Le service Netlogon a rencontré une erreur inattendue lors du traitement d’une demande d’ouverture de session de ticket réseau Kerberos. Pour plus d’informations, visitez https://go.microsoft.com/fwlink/?linkid=2261497. Compte de ticket de service :> de compte < Domaine de ticket de service :> de domaine < Nom de la station de travail : <nom de l’ordinateur> État : <code d’erreur> |
Cet événement est généré chaque fois que Netlogon a rencontré une erreur inattendue lors d’une demande d’ouverture de session de ticket réseau. Cet événement est enregistré lorsque AuditKerberosTicketLogonEvents est défini sur (1) ou supérieur.
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
Netlogon |
|
ID d’événement |
5843 |
|
Texte de l’événement |
Le service Netlogon n’a pas pu transférer une demande d’ouverture de session de ticket réseau Kerberos au contrôleur de domaine <> DC. Pour plus d’informations, visitez https://go.microsoft.com/fwlink/?linkid=2261497. Compte de ticket de service :> de compte < Domaine de ticket de service :> de domaine < Nom de la station de travail : <nom de l’ordinateur> |
Cet événement est généré chaque fois que Netlogon n’a pas pu terminer l’ouverture de session de ticket réseau, car un contrôleur de domaine n’a pas compris les modifications. En raison des limitations du protocole Netlogon, le client Netlogon ne peut pas déterminer si le contrôleur de domaine auquel le client Netlogon communique directement est celui qui ne comprend pas les modifications, ou s’il s’agit d’un contrôleur de domaine le long de la chaîne de transfert qui ne comprend pas les modifications.
-
Si le domaine de ticket de service est identique au domaine du compte d’ordinateur, il est probable que le contrôleur de domaine dans le journal des événements ne comprend pas le flux d’ouverture de session de ticket réseau.
-
Si le domaine de ticket de service est différent du domaine du compte d’ordinateur, l’un des contrôleurs de domaine qui va du domaine du compte d’ordinateur au domaine du compte de service n’a pas compris le flux d’ouverture de session de ticket réseau
Cet événement est désactivé par défaut. Microsoft recommande aux utilisateurs de commencer par mettre à jour l’ensemble de leur flotte avant d’activer l’événement.
Cet événement est enregistré lorsque AuditKerberosTicketLogonEvents est défini sur (2).
Forum aux questions (FAQ)
Un contrôleur de domaine qui n’est pas mis à jour ne reconnaît pas cette nouvelle structure de requête. Cela entraîne l’échec de l’case activée de sécurité. En mode de compatibilité, l’ancienne structure de requête est utilisée. Ce scénario est toujours vulnérable à CVE-2024-26248 et CVE-2024-29056.
Oui. Cela est dû au fait que le nouveau flux d’ouverture de session de ticket réseau peut devoir être routé entre les domaines pour atteindre le domaine du compte de service.
La validation PAC peut être ignorée dans certaines circonstances, y compris, mais sans s’y limiter, les scénarios suivants :
-
Si le service dispose du privilège TCB. En règle générale, les services exécutés dans le contexte du compte SYSTEM (tels que les partages de fichiers SMB ou les serveurs LDAP) disposent de ce privilège.
-
Si le service est exécuté à partir du Planificateur de tâches.
Sinon, la validation PAC est effectuée sur tous les flux d’authentification Kerberos entrants.
Ces CDE impliquent une élévation de privilège locale dans laquelle un compte de service malveillant ou compromis s’exécutant sur la station de travail Windows tente d’élever son privilège pour obtenir des droits d’administration locale. Cela signifie que seule la station de travail Windows acceptant l’authentification Kerberos entrante est affectée.
