סיכום
עדכוני האבטחה של Windows שהופצו ב- 9 באפריל 2024 או לאחר מכן העלאת רמת פגיעויות הרשאה באמצעות פרוטוקול האימות של Kerberos PAC. אישור תכונת ההרשאה (PAC) הוא הרחבה לכרטיסי שירות של Kerberos. הוא מכיל מידע אודות המשתמש המ מאמת וההרשאות שלו. עדכון זה מתקן פגיעות שבה משתמש התהליך יכול להתחזות לחתימה כדי לעקוף בדיקות אבטחה של אימות חתימה PAC שנוספו ב- KB5020805: כיצד לנהל שינויים בפרוטוקול Kerberos הקשורים ל- CVE-2022-37967.
לקבלת מידע נוסף על פגיעויות אלה, בקר ב- CVE-2024-26248 וב - CVE-2024-29056.
בצע פעולה
חשובשלב 1 להתקנת העדכון שפורסם ב- 9 באפריל 2024 או לאחר מכן לא י לטפל באופן מלא בבעיות האבטחה ב- CVE-2024-26248 וב- CVE-2024-29056 כברירת מחדל. כדי לצמצם את בעיית האבטחה באופן מלא עבור כל המכשירים, עליך לעבור למצב 'נאכף' (המתואר בשלב 3) לאחר עדכון מלא של הסביבה שלך.
כדי לסייע בהגנה על הסביבה שלך ולמנוע הפסקות חשמל, מומלץ לבצע את השלבים הבאים:
-
עדכון: יש לעדכן בקרי תחום של Windows והלקוחות של Windows באמצעות עדכון אבטחה של Windows שפורסם ב- 9 באפריל 2024 או לאחר מכן.
-
צג: אירועי ביקורת יהיו גלויים במצב תאימות כדי לזהות מכשירים שלא עודכנו.
-
לאפשר: לאחר שמצב אכיפה זמין באופן מלא בסביבה שלך, הפגיעויות המתוארות ב- CVE-2024-26248 וב- CVE-2024-29056 יוקלו.
רקע
כאשר תחנת עבודה של Windows מבצעת אימות PAC בזרימת אימות Kerberos נכנסת, היא מבצעת בקשה חדשה (כניסת כרטיס רשת) לאימות כרטיס השירות. הבקשה מועברת תחילה לבקר תחום (DC) של התחום Workstations באמצעות Netlogon.
אם חשבון השירות וחשבון המחשב שייכים לתחום שונה, הבקשה תתווסף בין יחסי האמון הנחוצים דרך Netlogon עד שתגיע לתחום השירותים; אחרת, ה- DC בתחום חשבונות המחשבים מבצע את האימות. לאחר מכן, ה- DC מתקשר למרכז התפלגות מקשים (KDC) כדי לאמת את חתימות PAC של כרטיס השירות ושולח פרטי משתמשים ומכשירים בחזרה אל תחנת העבודה.
אם הבקשה והתשובה מועברות באות אמון (במקרה שבו חשבון השירות וחשבון תחנת העבודה שייכים לתחום שונה), כל DC ברחבי יחסי האמון מסנן נתוני הרשאה הקשורים אליו.
ציר זמן של שינויים
עדכונים מופצות באופן הבא. שים לב שלתזמן מהדורה זה עשוי להיות מתוקן לפי הצורך.
שלב הפריסה הראשונית מתחיל בעדכונים שהופצו ב- 9 באפריל 2024. עדכון זה מוסיף אופן פעולה חדש שמונע העלאה של פגיעויות הרשאה המתוארות ב- CVE-2024-26248 וב- CVE-2024-29056 , אך אינו אוכף אותו אלא אם כן גם בקרי התחום של Windows וגם לקוחות Windows בסביבה מעודכנים.
כדי לאפשר את אופן הפעולה החדש ולצמצם את הפגיעויות, עליך לוודא שסביבת Windows כולה (כולל בקרי התחום והלקוחות) מעודכנת. אירועי ביקורת יירשם כדי לסייע בזיהוי מכשירים שלא עודכנו.
עדכונים שפורסמו ב- 15 באוקטובר 2024 או לאחר מכן, יעבירו את כל בקרי התחום והלקוחות של Windows בסביבה למצב נאכף על-ידי שינוי הגדרות מפתח המשנה של הרישום ל- PacSignatureValidationLevel=3 ו- CrossDomainFilteringLevel=4, אכיפת אופן הפעולה המאובטח כברירת מחדל.
מנהל מערכת יכול לעקוף את הגדרות ברירת המחדל שנאכפו על-ידי כדי לחזור למצב תאימות.
עדכוני האבטחה של Windows שהופצו ב- 8 באפריל 2025 או לאחר מכן, יסירו את התמיכה במפתחות המשנה של הרישום PacSignatureValidationLevelו- CrossDomainFilteringLevel ויאכפו את אופן הפעולה המאובטח החדש. לא תהיה תמיכה במצב תאימות לאחר התקנת עדכון זה.
בעיות פוטנציאליות והפחתת סיכונים
קיימות בעיות פוטנציאליות שעלולות להתעורר, כולל כשלי אימות PAC וסינון בין יערות. עדכון האבטחה ב- 9 באפריל 2024 כולל הגדרות של לוגיקת החזרה ורישום כדי לסייע בהפחתת בעיות אלה
הגדרות רישום
עדכון אבטחה זה מוצע למכשירי Windows (כולל בקרי תחום). יש לפרוס את מפתחות הרישום הבאים הלשליטה באופן הפעולה בשרת Kerberos שמקבל אימות Kerberos נכנס ומבצע אימות PAC.
|
מפתח משנה של רישום |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
ערך |
PacSignatureValidationLevel |
|
|
סוג נתונים |
REG_DWORD |
|
|
נתונים |
2 |
ברירת מחדל (תאימות לסביבה לא תואם) |
|
3 |
לאכוף |
|
|
נדרשת הפעלה מחדש? |
לא |
|
|
מפתח משנה של רישום |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
ערך |
CrossDomainFilteringLevel |
|
|
סוג נתונים |
REG_DWORD |
|
|
נתונים |
2 |
ברירת מחדל (תאימות לסביבה לא תואם) |
|
4 |
לאכוף |
|
|
נדרשת הפעלה מחדש? |
לא |
|
ניתן לפרוס מפתח רישום זה בשני שרתי Windows המקבלים אימות Kerberos נכנס, וכן בכל בקר תחום של Windows המאשר את זרימת הכניסה החדשה לכרטיס רשת לאורך הדרך.
|
מפתח משנה של רישום |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
ערך |
AuditKerberosTicketLogonEvents |
|
|
סוג נתונים |
REG_DWORD |
|
|
נתונים |
1 |
ברירת מחדל – רשום אירועים קריטיים |
|
2 |
רשום את כל אירועי Netlogon |
|
|
0 |
אל תרשום אירועי Netlogon |
|
|
נדרשת הפעלה מחדש? |
לא |
|
יומני אירועים
אירועי הביקורת הבאים של Kerberos יופקו בשרת Kerberos שמקבל אימות Kerberos נכנס. שרת Kerberos זה י לבצע אימות PAC, המשתמש בזרימת הכניסה החדשה של כרטיס הרשת.
|
יומן אירועים |
מערכת |
|
סוג אירוע |
אינפורמטיבי |
|
מקור האירוע |
Security-Kerberos |
|
מזהה האירוע |
21 |
|
טקסט אירוע |
במהלך כניסת כרטיס רשת של Kerberos, כרטיס השירות עבור חשבון <> מתחום <Domain> כלל את הפעולות הבאות שבוצעו בו על-ידי בקר התחום <DC>. לקבלת מידע נוסף, בקר באתר https://go.microsoft.com/fwlink/?linkid=2262558. |
אירוע זה מוצג כאשר בקר תחום חטף פעולה שאינה מכרעת במהלך זרימת כניסה לכרטיס רשת. נכון כברירת מחדל, הפעולות הבאות נרשמות:
-
מזהה זהות המשתמשים אונן.
-
כרטיסי ה- SIM של המכשיר מסוננים.
-
הזהות המורכבת הוסרה עקב סינון SID שאינם מאפשרים את זהות המכשיר.
-
הזהות המורכבת הוסרה עקב סינון SID ללא שם התחום של המכשיר.
|
יומן אירועים |
מערכת |
|
סוג אירוע |
שגיאה |
|
מקור האירוע |
Security-Kerberos |
|
מזהה האירוע |
22 |
|
טקסט אירוע |
במהלך כניסת כרטיס רשת של Kerberos, כרטיס השירות עבור חשבון <> מתחום <domain> נדחה על-ידי DC <DC> בשל הסיבות הבאות. לקבלת מידע נוסף, בקר באתר https://go.microsoft.com/fwlink/?linkid=2262558. |
אירוע זה מוצג כאשר בקר תחום דחה את בקשת הכניסה לכרטיס רשת מהסיבות המוצגות באירוע.
|
יומן אירועים |
מערכת |
|
סוג אירוע |
אזהרה או שגיאה |
|
מקור האירוע |
Security-Kerberos |
|
מזהה האירוע |
23 |
|
טקסט אירוע |
במהלך כניסת כרטיס רשת של Kerberos, לא היתה אפשרות <account_name> כרטיס השירות עבור חשבון <domain_name> תחום מ- Domain <domain_name> לבקר תחום כדי לקבל שירות לבקשה. לקבלת מידע נוסף, בקר באתר https://go.microsoft.com/fwlink/?linkid=2262558. |
-
אירוע זה מוצג כאזהרות אם PacSignatureValidationLevel AND CrossDomainFilteringLevel אינו מוגדר לאכוף או קפדני יותר. כאשר הוא נרשם כאזהרות, האירוע מציין שזרימת הכניסה לכרטיס רשת יצרה קשר עם בקר תחום או מכשיר מקביל שלא הבין את המנגנון החדש. האימות הורשה להתוות את אופן הפעולה הקודם.
-
אירוע זה מציג כשגיאה אם PacSignatureValidationLevel OR CrossDomainFilteringLevel מוגדר כאכוף או קפדני יותר. אירוע זה כ"שגיאה" מציין שזרימת הכניסה לכרטיס רשת יצרה קשר עם בקר תחום או מכשיר מקביל שלא הבין את המנגנון החדש. האימות נדחה ולא היתה אפשרות לבטל את אופן הפעולה הקודם.
|
יומן אירועים |
מערכת |
|
סוג אירוע |
שגיאה |
|
מקור האירוע |
Netlogon (רשת לוגון) |
|
מזהה האירוע |
5842 |
|
טקסט אירוע |
שירות Netlogon נתקל בשגיאה בלתי צפויה בעת עיבוד בקשה לכניסה לכרטיס רשת של Kerberos. לקבלת מידע נוסף, בקר באתר https://go.microsoft.com/fwlink/?linkid=2261497. חשבון כרטיס שירות: <חשבון> תחום כרטיס שירות: <תחום> שם תחנת עבודה: <שם מחשב> מצב: <קוד שגיאה> |
אירוע זה נוצר בכל פעם ש- Netlogon נתקל בשגיאה בלתי צפויה במהלך בקשת כניסה לכרטיס רשת. אירוע זה נרשם כאשר AuditKerberosTicketLogonEvents מוגדר (1) ואילך.
|
יומן אירועים |
מערכת |
|
סוג אירוע |
שלט אזהרה |
|
מקור האירוע |
Netlogon (רשת לוגון) |
|
מזהה האירוע |
5843 |
|
טקסט אירוע |
שירות Netlogon נכשל בהעברת בקשה לכניסה של כרטיס רשת של Kerberos לבקר התחום <DC>. לקבלת מידע נוסף, בקר באתר https://go.microsoft.com/fwlink/?linkid=2261497. חשבון כרטיס שירות: <חשבון> תחום כרטיס שירות: <תחום> שם תחנת עבודה: <שם מחשב> |
אירוע זה נוצר בכל פעם של- Netlogon לא היתה אפשרות להשלים את הכניסה לכרטיס רשת מאחר שבקר תחום לא הבין את השינויים. עקב מגבלות בפרוטוקול Netlogon, לקוח Netlogon אינו יכול לקבוע אם בקר התחום שלקוח Netlogon מדבר איתו ישירות הוא זה שאינו מבין את השינויים, או אם זהו בקר תחום לאורך שרשרת ההעברה שאינו מבין את השינויים.
-
אם תחום כרטיס השירות זהה לתחום של חשבון המחשב, ייתכן שבקר התחום ביומן האירועים אינו מבין את זרימת הכניסה לכרטיס רשת.
-
אם תחום כרטיס השירות שונה מהתחום של חשבון המחשב, אחד בקר התחום לאורך הדרך מהתחום של חשבון המחשב לתחום של חשבון השירות לא הבין את זרימת הכניסה לכרטיס רשת
אירוע זה מבוטל כברירת מחדל. Microsoft ממליצה למשתמשים לעדכן תחילה את הצי כולו לפני הפעלת האירוע.
אירוע זה נרשם כאשר AuditKerberosTicketLogonEvents מוגדר ל- (2).
שאלות נפוצות (שאלות נפוצות)
בקר תחום שאינו מעודכן לא יזהה מבנה בקשה חדש זה. פעולה זו תגרום לכשל של בדיקת האבטחה. במצב תאימות, ייעשה שימוש במבנה הבקשה הישן. תרחיש זה עדיין פגיע ל- CVE-2024-26248 ול- CVE-2024-29056.
כן. זאת משום שייתכן שיהיה עליך לנתב את זרימת הכניסה החדשה לכרטיס רשת בין תחומים כדי להגיע לתחום של חשבון השירות.
ניתן לדלג על אימות PAC בנסיבות מסוימות, כולל, אך לא מוגבל לתרחישים הבאים:
-
אם לשירות יש הרשאת TCB. בדרך כלל, לשירותים הפועלים בהקשר של חשבון SYSTEM (כגון מיקומים משותפים של קבצים SMB או שרתי LDAP) יש הרשאה זו.
-
אם השירות מופעל מתוך מתזמן המשימות.
אחרת, אימות PAC מבוצע בכל זרימות האימות הנכנסות של Kerberos.
CVEs אלה כוללים העלאת רמת הרשאה מקומית שבה חשבון שירות זדוני או נחשף לסכנה הפועל בתחנת העבודה של Windows מנסה להעלות את רמת ההרשאה שלהם כדי לקבל זכויות ניהול מקומיות. משמעות הדבר היא כי רק Windows Workstation מקבל אימות Kerberos נכנס מושפע.
