KB5020805: Kako upravljati promjenama protokola Kerberos koje se odnose na CVE-2022-37967

Primjenjuje se na
Windows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Napomena

  • Ažurirano
  • 10. travnja 2023.: ažurirana "Treća faza implementacije" s 11. travnja 2023. na 13. lipnja 2023. u odjeljku "Tempiranje ažuriranja za rješavanje CVE-2022-37967".

Sadržaj članka

Sažetak

Ažuriranja sustava Windows od 8. studenog 2022. rješavaju sigurnosno zaobilaženje i povećanje ranjivosti privilegija potpisima certifikata atributa privilegije (PAC). Ovo sigurnosno ažuriranje rješava slabe točke sustava Kerberos gdje bi napadač mogao digitalno izmijeniti PAC potpise i tako povećati njihove ovlasti.

Da biste zaštitili svoje okruženje, instalirajte ovo ažuriranje za Windows na sve uređaje, uključujući kontrolere domena sustava Windows. Prije prebacivanja ažuriranja na prisilni način rada potrebno je ažurirati sve kontrolore domena u domeni.

Dodatne informacije o tim ranjivostima potražite u članku CVE-2022-37967.

Poduzimanje radnji

Da biste zaštitili okoliš i spriječili prekide u radu, preporučujemo da učinite sljedeće:

  1. AŽURIRAJTE kontrolere domene sustava Windows ažuriranjem sustava Windows objavljenim 8. studenog 2022. ili kasnije.
  2. PREMJESTITE kontrolere domene sustava Windows u način nadzora pomoću odjeljka s postavkama ključa registra .
  3. NADZIRITE događaje podnesene tijekom nadzornog načina da biste zaštitili svoje okruženje.
  4. OMOGUĆI Način provedbe za rješavanje CVE-2022-37967 u vašem okruženju.

Napomena 1. korak instaliranja ažuriranja objavljenih 8. studenog 2022. ili kasnije NEĆE prema zadanim postavkama riješiti sigurnosne probleme u CVE-2022-37967 za uređaje sa sustavom Windows. Da biste u potpunosti ublažili sigurnosni problem za sve uređaje, morate što prije prijeći u način nadzora (opisano u 2. koraku), nakon čega slijedi Prisilni način rada (opisan u 4. koraku) na svim domenskim kontrolerima sustava Windows.

Važno Od srpnja 2023. način provedbe bit će omogućen na svim domenskim kontrolerima sustava Windows i blokirat će ranjive veze s uređaja koji nisu kompatibilni.  Trenutno nećete moći onemogućiti ažuriranje, ali ćete se moći vratiti na postavku nadzornog načina. Način nadzora uklonit će se u listopadu 2023., kao što je navedeno u odjeljku Tempiranje ažuriranja za rješavanje ranjivosti sustava Kerberos CVE-2022-37967 .

Tempiranje ažuriranja za adresu CVE-2022-37967

Ažuriranja će se objavljivati u fazama: početna faza za ažuriranja objavljena 8. studenog 2022. ili kasnije i faza provedbe za ažuriranja objavljena 13. lipnja 2023. ili kasnije.

8. studenog 2022. – početna faza implementacije

Početna faza implementacije započinje s ažuriranjima objavljenim 8. studenog 2022. i nastavlja se s kasnijim ažuriranjima sustava Windows sve do faze provođenja. Ovo ažuriranje dodaje potpise u međuspremnik Kerberos PAC, ali ne provjerava postoje li potpisi tijekom provjere autentičnosti. Stoga je sigurni način rada po zadanom onemogućen.

Ovo ažuriranje:

  • Dodaje PAC potpise u međuspremnik PAC sustava Kerberos.
  • Dodaje mjere za rješavanje ranjivosti sigurnosnog zaobilaženja u protokolu Kerberos.
13. prosinca 2022. – druga faza implementacije

Druga faza implementacije započinje ažuriranjima objavljenim 13. prosinca 2022. Ova i novija ažuriranja mijenjaju protokol Kerberos radi nadzora uređaja sa sustavom Windows premještanjem kontrolora domene sustava Windows u način nadzora.

Uz ovo će ažuriranje svi uređaji prema zadanim postavkama biti u nadzornom načinu rada:

  • Ako potpisa nema ili nije valjan, provjera autentičnosti je dopuštena. Uz to, stvorit će se i zapisnik nadzora.
  • Ako potpis nedostaje, pokrenite događaj i dopustite provjeru autentičnosti.
  • Ako potpis postoji, provjerite njegovu valjanost. Ako potpis nije točan, pokrenite događaj i dopustite provjeru autentičnosti.
13. lipnja 2023. – treća faza implementacije

Ažuriranja sustava Windows objavljena 13. lipnja 2023. ili kasnije učinit će sljedeće:

  • Uklonite mogućnost onemogućivanja dodavanja PAC potpisa postavljanjem potključa KrbtgtFullPacSignature na vrijednost 0.
11. srpnja 2023. – početna faza provedbe

Ažuriranja sustava Windows objavljena 11. srpnja 2023. ili kasnije učinit će sljedeće:

  • Uklanja mogućnost postavljanja vrijednosti 1 za potključ KrbtgtFullPacSignature .
  • Premješta ažuriranje u način provedbe (zadano) (KrbtgtFullPacSignature = 3), koji može nadjačati administrator s eksplicitnom postavkom nadzora.
10. listopada 2023. – faza potpune provedbe

Ažuriranja sustava Windows objavljena 10. listopada 2023. ili kasnije učinit će sljedeće:

  • Uklanja podršku za potključ registra KrbtgtFullPacSignature.
  • Uklanja se podrška za nadzorni način.
  • Svim zahtjevima za servis bez novih PAC potpisa bit će odbijena provjera autentičnosti.

Smjernice za implementaciju

Da biste implementirali ažuriranja sustava Windows od 8. studenog 2022. ili novija ažuriranja sustava Windows, slijedite ove korake:

  1. AŽURIRAJTE kontrolere domene sustava Windows ažuriranjem objavljenim 8. studenog 2022. ili kasnije.
  2. PREMJESTITE kontrolore domene u način nadzora pomoću odjeljka s postavkama ključa registra .
  3. NADZIRITE događaje podnesene tijekom nadzornog načina da biste pridonijeli zaštiti okruženja.
  4. OMOGUĆI Način provedbe za rješavanje CVE-2022-37967 u vašem okruženju.

1. KORAK: AŽURIRANJE

Implementirajte ažuriranja 8. studenog 2022. ili novija na sve primjenjive domenske kontrolere (DC-ove) sustava Windows. Nakon implementacije ažuriranja ažurirani kontroleri domene sustava Windows imat će potpise dodane u međuspremnik Kerberos PAC te će prema zadanim postavkama biti nesigurni (PAC potpis nije provjeren).

  • Tijekom ažuriranja ažurirajte vrijednost registra KrbtgtFullPacSignature u zadanom stanju dok se ne ažuriraju svi kontroleri domene sustava Windows.

2. KORAK: PREMJEŠTANJE

Kada se kontroleri domene sustava Windows ažuriraju, prijeđite u način nadzora tako da promijenite vrijednost KrbtgtFullPacSignature na 2.

3. KORAK: PRONALAŽENJE/PRAĆENJE

Prepoznajte područja u kojima nedostaju PAC potpisi ili u kojima PAC potpisi nisu prošli kroz zapisnike događaja aktivirane tijekom nadzornog načina.

  • Prije prelaska na način provođenja provjerite je li funkcionalna razina domene postavljena barem na 2008 ili novija. Prelazak na način provedbe s domenama na funkcionalnoj razini domene 2003 može uzrokovati pogreške prilikom provjere autentičnosti.
  • Događaji nadzora prikazat će se ako vaša domena nije potpuno ažurirana ili ako na vašoj domeni još uvijek postoje prethodno izdane potvrde o prijavi usluge.
  • Nastavite pratiti ima li pohranjenih dodatnih zapisnika događaja koji upućuju na nedostatak PAC potpisa ili na neuspjele provjere valjanosti postojećih PAC potpisa.
  • Nakon ažuriranja cijele domene i isteka svih nepodmirenih potvrda o prijavi događaji se više ne bi trebali pojavljivati. Nakon toga biste trebali moći bez pogrešaka prijeći u način provedbe.

4. KORAK: OMOGUĆIVANJE

Omogućite način provedbe kako biste riješili CVE-2022-37967 u svom okruženju.

  • Kada se svi događaji nadzora riješe i više se ne prikazuju, premjestite domene u način provedbe tako da ažurirate vrijednost registra KrbtgtFullPacSignature na način opisan u odjeljku s postavkama ključa registra .
  • Ako servisna potvrda o prijavi za uslugu sadrži nevažeći PAC potpis ili u njemu nedostaju PAC potpisi, provjera valjanosti neće uspjeti i zabilježit će se događaj pogreške.

Postavke ključa registra

Protokol Kerberos

Nakon instalacije ažuriranja sustava Windows od 8. studenog 2022. ili kasnije, sljedeći ključ registra dostupan je za protokol Kerberos:

  • KrbtgtFullPacSignature

    Taj se ključ registra upotrebljava za vrata implementacije promjena sustava Kerberos. Ovaj je ključ registra privremen i više se neće čitati nakon potpunog datuma primjene 10. listopada 2023. 

    Registarski ključ HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
    Vrijednost KrbtgtFullPacSignature
    Vrsta podataka REG_DWORD
    Podaci 0 Onemogućeno
    1 – dodaju se, ali se ne provjeravaju novi potpisi. (zadana postavka)
    2 – način nadzora. Dodaju se novi potpisi i provjeravaju ako postoje. Ako potpisa nema ili nije valjan, provjera autentičnosti je dopuštena i stvaraju se zapisnici nadzora.
    3 – Način provedbe. Dodaju se novi potpisi i provjeravaju ako postoje. Ako potpisa nema ili nije valjan, provjera autentičnosti se odbija i stvaraju se zapisnici nadzora.
    Je li potrebno ponovno pokretanje? Ne

    Napomena Ako morate promijeniti vrijednost registra KrbtgtFullPacSignature , ručno dodajte i konfigurirajte ključ registra tako da nadjača zadanu vrijednost.

U nadzornom načinu rada može se pojaviti neka od sljedećih pogrešaka ako PAC potpisa nema ili nisu valjani. Ako se problem nastavi tijekom načina provođenja, ti će se događaji zabilježiti kao pogreške.

Ako pronađete bilo koju od pogrešaka na svom uređaju, vjerojatno svi kontrolori domene sustava Windows u vašoj domeni nisu ažurirani s ažuriranjem sustava Windows od 8. studenog 2022. ili novijim. Da biste ublažili probleme, morat ćete dodatno istražiti domenu i pronaći kontrolere domena sustava Windows koji nisu ažurni.

Napomena Ako pronađete pogrešku s ID-jem događaja 42, pogledajte KB5021131: Kako upravljati promjenama protokola Kerberos koje se odnose na CVE-2022-37966.

Potpuni PAC potpis nije uspio
Zapisnik događaja Sustav
Vrsta događaja Upozorenje
Izvor događaja Microsoft-Windows-Kerberos-Key-Distribution-Center
ID događaja 43
Tekst događaja Key Distribution Center (KDC) naišao je na potvrdu za potvrdu da nije mogao potvrditi
puni PAC potpis. Pogledajte https://go.microsoft.com/fwlink/?linkid=2210019 da biste saznali više. Klijent : <područje/><ime>
Nedostaje puni PAC potpis
Zapisnik događaja Sustav
Vrsta događaja Upozorenje
Izvor događaja Microsoft-Windows-Kerberos-Key-Distribution-Center
ID događaja 44
Tekst događaja Centar za distribuciju ključeva (KDC) naišao je na potvrdu za provjeru autentičnosti koja nije sadržavala cijeli potpis PAC-a. Pogledajte https://go.microsoft.com/fwlink/?linkid=2210019 da biste saznali više. Klijent : <područje/><ime>

Uređaji drugih proizvođača koji implementiraju protokol Kerberos

Domene koje imaju kontrolere domena treće strane mogu vidjeti pogreške u načinu provođenja.

Domenama s klijentima trećih strana može trebati više vremena da se potpuno očiste od događaja nadzora nakon instalacije ažuriranja sustava Windows od 8. studenog 2022. ili novijeg.

Obratite se proizvođaču uređaja (OEM-u) ili dobavljaču softvera da biste utvrdili je li njihov softver kompatibilan s najnovijom promjenom protokola.

Informacije o ažuriranjima protokola potražite u temi o Protokolu sustava Windows na Microsoftovu web-mjestu.

Pojmovnik

Kerberos

Kerberos je protokol za provjeru autentičnosti računalne mreže koji radi na temelju "ulaznica" kako bi omogućio čvorovima koji komuniciraju preko mreže da dokažu svoj identitet jedni drugima na siguran način.

Key Distribution Center (KDC)

Servis Kerberos koji implementira usluge provjere autentičnosti i izdavanja potvrda o prijavi navedena u protokolu Kerberos. Servis se izvodi na računalima koje odabere administrator domene ili domene. Ne nalazi se na svakom računalu na mreži. Mora imati pristup bazi podataka računa za područje koje služi.  KDC-ovi integrirani su u ulogu kontrolora domene . To je mrežni servis koji klijentima isporučuje potvrde za provjeru autentičnosti servisa.

Certifikat atributa privilegije (PAC)

Privilege Attribute Certificate (PAC) struktura je koja prenosi informacije vezane uz autorizaciju koje pružaju domenski kontroleri (DC-ovi). Dodatne informacije potražite u članku Struktura podataka certifikata atributa privilegije.

Ulaznica za dodjelu ulaznica

Posebna vrsta ulaznice koja se može koristiti za dobivanje drugih ulaznica. TGT-a (ticket-granting ticket) dobiva se nakon početne provjere autentičnosti u razmjeni usluga za provjeru autentičnosti (AS); nakon toga, korisnici ne moraju predočiti svoje vjerodajnice, ali mogu koristiti TGT za dobivanje naknadnih tiketa.