Sažetak
Sigurnosna ažuriranja sustava Windows objavljena 9. travnja 2024 . ili nakon 9. travnja 2024. Certifikat privilege atributa (PAC) proširenje je servisnih karata Kerberos. Sadrži informacije o korisniku za provjeru autentičnosti i njihovim ovlastima. Ovim se ažuriranjem rješava slaba točka u kojoj korisnik postupka može krivotvoriti potpis da bi zaobišao sigurnosne provjere valjanosti PAC-a koje su dodane u KB5020805: Upravljanje promjenama protokola Kerberos u vezi s CVE-2022-37967.
Da biste saznali više o tim slabim točkama, posjetite CVE-2024-26248 i CVE-2024-29056.
Akcija
VAŽNOPrvi korak za instalaciju ažuriranja objavljenog 9. travnja 2024. ili kasnije NEĆE u potpunosti riješiti sigurnosne probleme u cve-2024-26248 i CVE-2024-29056 po zadanom. Da biste u potpunosti ublažili sigurnosni problem za sve uređaje, morate prijeći u način nametnuti (opisan u 3. koraku) kada se okruženje u potpunosti ažurira.
Da biste zaštitili svoje okruženje i spriječili prekida rada, preporučujemo sljedeće korake:
-
AŽURIRANJE: Domenski kontroleri sustava Windows i klijenti sustava Windows moraju se ažurirati sigurnosnim ažuriranjem sustava Windows izdanim 9. travnja 2024. ili kasnije.
-
MONITOR: Događaji nadzora bit će vidljivi u načinu kompatibilnosti radi prepoznavanja uređaja koji nisu ažurirani.
-
OMOGUĆITI: Kada je način provođenja u potpunosti omogućen u vašem okruženju, slabe točke opisane u cve-2024-26248 i CVE-2024-29056 ublažit će se.
Pozadina
Kada radna stanica sustava Windows provodi PAC provjeru valjanosti u dolaznom tijeku provjere autentičnosti Kerberos, ona izvršava novi zahtjev (prijava mrežne ulaznice) radi provjere valjanosti servisne prijave. Zahtjev se prvotno prosljeđuje domenski kontroler (DC) domene Workstations putem netlogona.
Ako račun servisa i račun računala pripadaju različitim domenama, zahtjev se putem Netlogona prebacuje u sve potrebne trustove dok ne dosegne domenu servisa; u suprotnom DC u domeni računa računala provodi provjeru valjanosti. DC zatim poziva centar za raspodjelu ključeva (KDC) da provjeri valjanost PAC potpisa servisne karte i šalje podatke o korisniku i uređaju natrag na radnu stanicu.
Ako se zahtjev i odgovor prosljeđuju u trustu (u slučaju da račun servisa i račun radne stanice pripadaju različitim domenama), svaki DC u trustu filtrira podatke o autorizaciji koji se odnose na njega.
Vremenska crta promjena
Ažuriranja objavljeni su na sljedeći način. Imajte na umu da je taj raspored izdanja po potrebi moguće izmijeniti.
Početna faza implementacije započinje ažuriranjima objavljenima 9. travnja 2024. Ovo ažuriranje dodaje novo ponašanje koje onemogućuje povećanje ranjivosti privilegija opisanih u cve-2024-26248 i CVE-2024-29056 , ali ne primjenjuje ga osim ako su ažurirani domenski kontroleri sustava Windows i klijenti sustava Windows u okruženju.
Da biste omogućili novo ponašanje i ublažili slabe točke, morate osigurati ažuriranje cijelog okruženja sustava Windows (uključujući domenske kontrolere i klijente). Događaji nadzora bilježit će se da bi se lakše prepoznali uređaji koji nisu ažurirani.
Ažuriranja objavljen 15. listopada 2024. ili kasnije, premjestit će sve kontrolere domene i klijente sustava Windows u način nametnuti tako da postavke potključa registra promijenite u PacSignatureValidationLevel=3 i CrossDomainFilteringLevel=4, namećući sigurno ponašanje prema zadanim postavkama.
Administrator može nadjačati postavke Nametanje prema zadanim postavkama radi povratne informacije o načinu kompatibilnosti .
Sigurnosna ažuriranja sustava Windows objavljena 8. travnja 2025. ili kasnije uklonit će podršku za potključeva registra PacSignatureValidationLevel i CrossDomainFilteringLevel i nametnuti novo sigurno ponašanje. Nakon instalacije ovog ažuriranja neće biti podrške za način kompatibilnosti.
Potencijalni problemi i ublažavanja
Mogu se pojaviti potencijalni problemi, uključujući pac provjeru valjanosti i kvarove filtriranja među šumama. Sigurnosno ažuriranje od 9. travnja 2024. obuhvaća rezervnu logiku i postavke registra radi lakšeg rješavanja tih problema
Postavke registra
Ovo se sigurnosno ažuriranje nudi uređajima sa sustavom Windows (uključujući domenski kontroleri). Sljedeće ključeve registra koji kontroliraju ponašanje potrebno je implementirati samo na kerberos poslužitelj koji prihvaća dolaznu kerberos provjeru autentičnosti i izvodi PAC provjeru valjanosti.
|
Potključ registra |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Vrijednost |
PacSignatureValidationLevel |
|
|
Vrsta podataka |
REG_DWORD |
|
|
Podaci |
2 |
Zadano (kompatibilnost s neuparenim okruženjem) |
|
3 |
Provesti |
|
|
Potrebno je ponovno pokretanje? |
Ne |
|
|
Potključ registra |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Vrijednost |
CrossDomainFilteringLevel |
|
|
Vrsta podataka |
REG_DWORD |
|
|
Podaci |
2 |
Zadano (kompatibilnost s neuparenim okruženjem) |
|
4 |
Provesti |
|
|
Potrebno je ponovno pokretanje? |
Ne |
|
Taj se ključ registra može implementirati na poslužitelje sustava Windows koji prihvaća dolaznu kerberos provjeru autentičnosti, kao i na bilo koji domenski kontroler sustava Windows koji tijekom puta provjera valjanosti novog tijeka prijave mrežne ulaznice.
|
Potključ registra |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Vrijednost |
AuditKerberosTicketLogonEvents |
|
|
Vrsta podataka |
REG_DWORD |
|
|
Podaci |
1 |
Zadano – zapisivanje kritičnih događaja |
|
2 |
Zapisivanje svih netlogon događaja |
|
|
0 |
Ne zapisuj netlogon događaje |
|
|
Potrebno je ponovno pokretanje? |
Ne |
|
Zapisnici događaja
Sljedeći događaji nadzora kerberos generirat će se na poslužitelju Kerberos koji prihvaća dolaznu kerberos provjeru autentičnosti. Ovaj kerberos poslužitelj će raditi PAC provjeru valjanosti, koja koristi novi tijek prijave mrežne ulaznice.
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Informativne |
|
Izvor događaja |
Security-Kerberos |
|
ID događaja |
21 |
|
Tekst događaja |
Tijekom prijave mrežne ulaznice za Kerberos servisna etiketa za račun <račun> s domene <Domain> obavila je sljedeće radnje putem servisa DC <Domain Controller>. Dodatne informacije potražite na web-https://go.microsoft.com/fwlink/?linkid=2262558. |
Taj se događaj prikazuje kada je domenski kontroler preuzeo akciju koja nije fatalna tijekom tijeka prijave mrežne ulaznice. Od sada se evidentiraju sljedeće akcije:
-
Korisnički ID-ovi su filtrirani.
-
SID-ovi uređaja su filtrirani.
-
Složeni identitet uklonjen je zbog SID filtriranja koje onemogunjuje identitet uređaja.
-
Složeni identitet uklonjen je zbog SID filtriranja koje onemogunjuje naziv domene uređaja.
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Pogreška |
|
Izvor događaja |
Security-Kerberos |
|
ID događaja |
22 |
|
Tekst događaja |
Dc <DC> zbog razloga u nastavku tijekom prijave mrežne prijave na mrežu Kerberos za račun <račun> s domene <Domain> odbio je DC <DC>. Dodatne informacije potražite na web-https://go.microsoft.com/fwlink/?linkid=2262558. |
Ovaj se događaj prikazuje kada kontrolor domene odbije zahtjev za prijavu u mrežnu prijavu ulaznica iz razloga prikazanih u događaju.
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Upozorenje ili pogreška |
|
Izvor događaja |
Security-Kerberos |
|
ID događaja |
23 |
|
Tekst događaja |
Tijekom prijave mrežne ulaznice tvrtke Kerberos servisna etiketa za račun <account_name> iz domene <domain_name> ne može se proslijediti kontroloru domene radi pružanja usluge zahtjeva. Dodatne informacije potražite na web-https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Ovaj se događaj prikazuje kao upozorenje ako PacSignatureValidationLevel AND CrossDomainFilteringLevel nisu postavljeni na Nametni ili stroži. Kada se zapisuje kao upozorenje, događaj označava da je tijek prijave mrežne ulaznice kontaktirao domenski kontroler ili ekvivalentni uređaj koji nije razumio novi mehanizam. Provjera autentičnosti dopuštena je za vraćanje na prethodno ponašanje.
-
Ovaj događaj prikazuje se kao pogreška ako je PacSignatureValidationLevel OR CrossDomainFilteringLevel postavljen na Nametanje ili strože. Ovaj događaj kao "pogreška" označava da je tijek prijave mrežne ulaznice kontaktirao domenski kontroler ili ekvivalentni uređaj koji nije razumio novi mehanizam. Provjera autentičnosti je odbijena i nije se mogla ponovno povezati s prethodnim ponašanjem.
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Pogreška |
|
Izvor događaja |
Netlogon |
|
ID događaja |
5842 |
|
Tekst događaja |
Servis Netlogon naišao je na neočekivanu pogrešku prilikom obrade zahtjeva za prijavu na mrežnu prijavu kerberos. Dodatne informacije potražite na web-https://go.microsoft.com/fwlink/?linkid=2261497. Račun servisne ulaznice: <račun> Domena servisne ulaznice: <domena> Naziv radne stanice: <naziv računala> Status: <kod pogreške> |
Taj se događaj generira svaki put kada netlogon naisla na neočekivanu pogrešku tijekom zahtjeva za prijavu u mrežnu prijavu. Ovaj se događaj bilježi kada je AuditKerberosTicketLogonEvents postavljen na (1) ili noviji.
|
Zapisnik događaja |
Sustav |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Netlogon |
|
ID događaja |
5843 |
|
Tekst događaja |
Servis Netlogon nije uspio prosljeđivati zahtjev za prijavu na mrežnu prijavu za prijavu u mrežu Kerberos kontroloru domene <DC>. Dodatne informacije potražite na web-https://go.microsoft.com/fwlink/?linkid=2261497. Račun servisne ulaznice: <račun> Domena servisne ulaznice: <domena> Naziv radne stanice: <naziv računala> |
Taj se događaj generira svaki put kada Netlogon ne može dovršiti prijavu mrežne prijave ulaznice jer kontrolor domene ne razumije promjene. Zbog ograničenja u Netlogon protokol, Netlogon klijent ne može utvrditi je li kontrolor domene da Netlogon klijent govori izravno je onaj koji ne razumije promjene, ili je to kontrolor domene duž lanca prosljeđivanja koji ne razumije promjene.
-
Ako je domena servisne ulaznice ista kao domena računa računala, vjerojatno domenski kontroler u zapisniku događaja ne razumije tijek prijave putem mrežne ulaznice.
-
Ako se domena servisne ulaznice razlikuje od domene računa računala, jedan od domenskog kontrolera na putu od domene računa računala do domene računa servisa nije razumio tijek prijave mrežne ulaznice
Ovaj je događaj isključen prema zadanim postavkama. Microsoft preporučuje da korisnici najprije ažuriraju cijelu flotu prije uključivanja događaja.
Ovaj se događaj bilježi kada je AuditKerberosTicketLogonEvents postavljen na (2).
Najčešća pitanja (najčešća pitanja)
Domenski kontroler koji nije ažuriran neće prepoznati novu strukturu zahtjeva. To će uzrokovati neuspjeh sigurnosne provjere. U načinu kompatibilnosti koristit će se stara struktura zahtjeva. Taj je scenarij i dalje izložen CVE-2024-26248 i CVE-2024-29056.
Da. To je zato što novi tijek prijave mrežne ulaznice možda mora biti preusmjeren na više domena da bi se dosegnula domena računa servisa.
Pac provjera valjanosti može se preskočiti u određenim okolnostima, uključujući, ali ne ograničavajući se na sljedeće scenarije:
-
Ako servis ima TCB privilegiju. Općenito, servisi pokrenuti u kontekstu računa SUSTAVA (kao što su zajedničko korištenje SMB datoteka ili LDAP poslužitelji) imaju tu privilegiju.
-
Ako je servis pokrenut iz planera zadataka.
U suprotnom se pac provjera valjanosti izvodi na svim dolaznim tijekovima provjere autentičnosti Kerberos.
Ti CV-ovi obuhvaćaju lokalno povećanje ovlasti pri kojem zlonamjerni ili kompromitirani račun servisa koji se izvodi na radnoj stanici sustava Windows pokušava povećati svoju privilegiju za stjecanje prava lokalne administracije. To znači da je zahvaćena samo windows radna stanica koja prihvaća dolaznu Kerberos provjeru autentičnosti.
