Izvorni datum objave: 30. rujna 2025.
KB ID: 5068222
Uvod
U ovom se članku objašnjavaju nedavna sigurnosna poboljšanja osmišljena za sprječavanje neovlaštene eskalacije privilegija tijekom provjere autentičnosti mreže, osobito u scenarijima povratnog ponavljanja. Ti se rizici često pojavljuju kada se klonirani uređaji ili uređaji s neuparenim ID-ovima dodaju u domenu.
Pozadina
Na uređajima sa sustavom Windows pridruženim domeni, servis za sigurnost lokalne sigurnosne ustanove (LSASS) nameće sigurnosne pravilnike, uključujući filtriranje tokena za provjeru autentičnosti mreže. Time se lokalnim administratorima onemogućivanje stjecanja privilegiranog prava putem daljinskog pristupa. Provjera autentičnosti kerberos, iako robusna, povijesno je ranjiva u scenarijima povratnog ponavljanja zbog nedosljedne provjere identiteta računala.
Ključne promjene
Da bi otkloniti te slabe točke, Microsoft je uveo trajne sigurnosne identifikatore računa računala (SID).. Sid ostaje dosljedan u svim ponovnim pokretanjima sustava, što pomaže u održavanju stabilnog identiteta računala.
Prije je Windows prilikom svakog pokretanja generirao novi ID računala, što je napadačima dopustili zaobilaženje otkrivanja povratnih petlji ponovnim korištenjem podataka za provjeru autentičnosti. Uz ažuriranja sustava Windows objavljena 26. kolovoza 2025. i nakon toga, ID računala sada obuhvaća komponente po pokretanju i unakrsnom pokretanju. To olakšava otkrivanje i blokiranje exploits, ali može uzrokovati neuspjehe provjere autentičnosti između kloniranih glavnih računala sustava Windows jer će se ID-ovi računala za više pokretanja podudarati i biti blokirani.
Utjecaj na sigurnost
Ovo poboljšanje izravno rješava ranjivosti povratne točke Kerberos, čime se jamči da sustavi odbace zahtjeve za provjeru autentičnosti koje ne odgovaraju identitetu trenutnog računala. To je osobito važno za okruženja u kojima se uređaji kloniraju ili ponovno oblikuju jer se zastarjeli podaci o identitetu mogu iskoristiti za eskalaciju privilegija.
Provjera valjanosti SID-a računa računala protiv SID-a u karti Kerberos LSASS može otkriti i odbaciti nepodudarane ulaznice, jačajući zaštitu kontrole korisničkog računa (UAC).
Preporučene radnje
-
Ako naiđete na probleme kao što je ID događaja: 6167 na kloniranom uređaju, upotrijebite alat za pripremu sustava (Sysprep) da biste generalizirali sliku uređaja.
-
Pregledajte pridruživanja domeni i prakse kloniranja radi usklađivanja s tim novim sigurnosnim poboljšanjima.
Zaključak
Te promjene poboljšavaju kerberos provjeru autentičnosti povezivanjem s trajnim i provjerljivim identitetom računala. Tvrtke i ustanove imaju koristi od poboljšane zaštite od neovlaštenog pristupa i eskalacije privilegija, što podržava Microsoftovu šira sigurnosnu inicijativu za jačanje sigurnosti utemeljene na identitetu u svim korporacijskim okruženjima.
