Riassunto
Gli aggiornamenti della sicurezza di Windows rilasciati dopo il 9 aprile 2024 includono vulnerabilità relative all'elevazione dei privilegi con il protocollo di convalida PAC Kerberos. Il certificato PAC (Privilege Attribute Certificate) è un'estensione per i ticket di servizio Kerberos. Contiene informazioni sull'utente che esegue l'autenticazione e sui privilegi. Questo aggiornamento risolve una vulnerabilità in cui l'utente del processo può effettuare lo spoofing della firma per ignorare i controlli di sicurezza di convalida della firma PAC aggiunti in KB5020805: Come gestire le modifiche al protocollo Kerberos correlate a CVE-2022-37967.
Per altre informazioni su queste vulnerabilità, visita CVE-2024-26248 e CVE-2024-29056.
Intervenire
IMPORTANTEIl passaggio 1 per installare l'aggiornamento rilasciato dopo il 9 aprile 2024 NON risolverà completamente i problemi di sicurezza in CVE-2024-26248 e CVE-2024-29056 per impostazione predefinita. Per ridurre completamente il problema di sicurezza per tutti i dispositivi, è necessario passare alla modalità applicata (descritta nel passaggio 3) una volta che l'ambiente è stato aggiornato completamente.
Per proteggere l'ambiente e prevenire interruzioni, è consigliabile eseguire le operazioni seguenti:
-
AGGIORNAMENTO: I controller di dominio Windows e i client Windows devono essere aggiornati con un aggiornamento della sicurezza di Windows rilasciato dopo il 9 aprile 2024 incluso.
-
MONITOR: Gli eventi di controllo saranno visibili in modalità compatibilità per identificare i dispositivi non aggiornati.
-
ATTIVARE: Dopo aver abilitato completamente la modalità di applicazione nell'ambiente, le vulnerabilità descritte in CVE-2024-26248 e CVE-2024-29056 verranno attenuate.
Sfondo
Quando una workstation Windows esegue la convalida PAC su un flusso di autenticazione Kerberos in ingresso, esegue una nuova richiesta (Accesso ticket di rete) per convalidare il ticket di servizio. La richiesta viene inizialmente inoltrata a un controller di dominio del dominio Workstations tramite Netlogon.
Se l'account del servizio e l'account computer appartengono a domini diversi, la richiesta viene trasferita tra le attendibilità necessarie tramite Netlogon fino a raggiungere il dominio dei servizi; in caso contrario, il controller di dominio nel dominio degli account computer esegue la convalida. Il controller di dominio chiama quindi il centro di distribuzione delle chiavi (KDC) per convalidare le firme PAC del ticket di servizio e invia le informazioni sull'utente e sul dispositivo alla workstation.
Se la richiesta e la risposta vengono inoltrate attraverso un trust (nel caso in cui l'account del servizio e l'account della workstation appartengano a domini diversi), ogni controller di dominio tra i dati di autorizzazione dell'attendibilità filtra i dati di autorizzazione che vi riguardano.
Sequenza temporale delle modifiche
Aggiornamenti vengono rilasciate come indicato di seguito. Questa pianificazione dei rilasci potrebbe essere modificata in base alle esigenze.
La fase di distribuzione iniziale inizia con gli aggiornamenti rilasciati il 9 aprile 2024. Questo aggiornamento aggiunge un nuovo comportamento che impedisce l'elevazione delle vulnerabilità dei privilegi descritte in CVE-2024-26248 e CVE-2024-29056 , ma non lo applica a meno che non vengano aggiornati sia i controller di dominio di Windows che i client Windows nell'ambiente.
Per abilitare il nuovo comportamento e ridurre le vulnerabilità, è necessario verificare che l'intero ambiente Windows (inclusi i controller di dominio e i client) sia aggiornato. Gli eventi di controllo verranno registrati per identificare i dispositivi non aggiornati.
Aggiornamenti rilasciato dopo il 15 ottobre 2024 compreso, sposterà tutti i controller di dominio e i client di Windows nell'ambiente in modalità applicata modificando le impostazioni della sottochiave del Registro di sistema in PacSignatureValidationLevel=3 e CrossDomainFilteringLevel=4, applicando il comportamento sicuro per impostazione predefinita.
Le impostazioni Applicate per impostazione predefinita possono essere sostituite da un amministratore per ripristinare la modalità compatibilità .
Gli aggiornamenti della sicurezza di Windows rilasciati dopo l'8 aprile 2025 compreso rimuoveranno il supporto per le sottochiavi del Registro di sistema PacSignatureValidationLevel e CrossDomainFilteringLevel e applicherà il nuovo comportamento sicuro. Dopo l'installazione di questo aggiornamento non sarà disponibile alcun supporto per la modalità compatibilità .
Potenziali problemi e misure di prevenzione
Possono verificarsi potenziali problemi, tra cui la convalida PAC e gli errori di filtro tra foreste. L'aggiornamento della sicurezza del 9 aprile 2024 include la logica di fallback e le impostazioni del Registro di sistema per ridurre questi problemi
Impostazioni del Registro di sistema
Questo aggiornamento della sicurezza è disponibile per i dispositivi Windows (inclusi i controller di dominio). Le chiavi del Registro di sistema seguenti che controllano il comportamento devono essere distribuite solo al server Kerberos che accetta l'autenticazione Kerberos in ingresso ed esegue la convalida PAC.
|
Sottochiave del Registro di sistema |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Valore |
PacSignatureValidationLevel |
|
|
Tipo di dati |
REG_DWORD |
|
|
Dati |
2 |
Impostazione predefinita (compatibilità con l'ambiente senza compatibilità) |
|
3 |
Rinforzare |
|
|
Riavvio Richiesto? |
No |
|
|
Sottochiave del Registro di sistema |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Valore |
CrossDomainFilteringLevel |
|
|
Tipo di dati |
REG_DWORD |
|
|
Dati |
2 |
Impostazione predefinita (compatibilità con l'ambiente senza compatibilità) |
|
4 |
Rinforzare |
|
|
Riavvio Richiesto? |
No |
|
Questa chiave del Registro di sistema può essere distribuita a entrambi i server Windows che accettano l'autenticazione Kerberos in ingresso, nonché a qualsiasi controller di dominio Windows che convalida il nuovo flusso di accesso ai ticket di rete lungo il percorso.
|
Sottochiave del Registro di sistema |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Valore |
AuditKerberosTicketLogonEvents |
|
|
Tipo di dati |
REG_DWORD |
|
|
Dati |
1 |
Predefinito: registra eventi critici |
|
2 |
Registra tutti gli eventi netlogon |
|
|
0 |
Non registrare gli eventi netlogon |
|
|
Riavvio Richiesto? |
No |
|
Registri eventi
I seguenti eventi di controllo Kerberos verranno generati sul server Kerberos che accetta l'autenticazione Kerberos in ingresso. Questo server Kerberos eseguirà la convalida PAC, che utilizza il nuovo flusso di accesso ai ticket di rete.
|
Registro eventi |
Sistema |
|
Tipo di evento |
Informativo |
|
Origine evento |
Security-Kerberos |
|
ID evento |
21 |
|
Testo evento |
Durante l'accesso tramite ticket di rete Kerberos, il ticket di servizio per l'account <account> dall'> dominio <dominio ha eseguito le operazioni seguenti da dc <controller di dominio>. Per ulteriori informazioni, visita https://go.microsoft.com/fwlink/?linkid=2262558. |
Questo evento viene visualizzato quando un controller di dominio ha eseguito un'azione non irreversibile durante un flusso di accesso al ticket di rete. Al momento, vengono registrate le seguenti azioni:
-
I SID utente sono stati filtrati.
-
I SID del dispositivo sono stati filtrati.
-
L'identità composta è stata rimossa a causa del filtro SID che non consente l'identità del dispositivo.
-
L'identità composta è stata rimossa a causa del filtro SID che non consente il nome di dominio del dispositivo.
|
Registro eventi |
Sistema |
|
Tipo di evento |
Errore |
|
Origine evento |
Security-Kerberos |
|
ID evento |
22 |
|
Testo evento |
Durante l'accesso tramite ticket di rete Kerberos, il ticket di servizio per l'account <> dall'> dominio di <dominio di dominio è stato negato da DC <DC> per i motivi seguenti. Per ulteriori informazioni, visita https://go.microsoft.com/fwlink/?linkid=2262558. |
Questo evento viene visualizzato quando un controller di dominio ha negato la richiesta di accesso ai ticket di rete per i motivi mostrati nell'evento.
|
Registro eventi |
Sistema |
|
Tipo di evento |
Avviso o errore |
|
Origine evento |
Security-Kerberos |
|
ID evento |
23 |
|
Testo evento |
Durante l'accesso al ticket di rete Kerberos, non è stato possibile inoltrare il ticket di servizio per l'account <account_name> da <domain_name> dominio a un controller di dominio per la richiesta. Per ulteriori informazioni, visita https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Questo evento viene visualizzato come avviso se PacSignatureValidationLevel AND CrossDomainFilteringLevel non è impostato su Enforce o più severe. Durante la registrazione come avviso, l'evento indica che i flussi di accesso ai ticket di rete hanno contattato un controller di dominio o un dispositivo equivalente che non ha compreso il nuovo meccanismo. L'autenticazione era consentita per il fallback al comportamento precedente.
-
Questo evento viene visualizzato come errore se PacSignatureValidationLevel OR CrossDomainFilteringLevel è impostato su Enforce o più severe. Questo evento come "errore" indica che il flusso di accesso ticket di rete ha contattato un controller di dominio o un dispositivo equivalente che non comprende il nuovo meccanismo. L'autenticazione è stata negata e non è stato possibile fallback al comportamento precedente.
|
Registro eventi |
Sistema |
|
Tipo di evento |
Errore |
|
Origine evento |
Netlogon |
|
ID evento |
5842 |
|
Testo evento |
Il servizio Netlogon ha rilevato un errore imprevisto durante l'elaborazione di una richiesta di accesso ticket di rete Kerberos. Per ulteriori informazioni, visita https://go.microsoft.com/fwlink/?linkid=2261497. Account ticket di servizio:> account < Service Ticket Domain:> <Domain Nome workstation: <nome computer> Stato:> codice di errore < |
Questo evento viene generato ogni volta che Netlogon rileva un errore imprevisto durante una richiesta di accesso a un ticket di rete. Questo evento viene registrato quando AuditKerberosTicketLogonEvents è impostato su (1) o versione successiva.
|
Registro eventi |
Sistema |
|
Tipo di evento |
Attenzione |
|
Origine evento |
Netlogon |
|
ID evento |
5843 |
|
Testo evento |
Il servizio Netlogon non è riuscito a inoltrare una richiesta di accesso ticket di rete Kerberos al controller di dominio <DC>. Per ulteriori informazioni, visita https://go.microsoft.com/fwlink/?linkid=2261497. Account ticket di servizio:> account < Service Ticket Domain:> <Domain Nome workstation: <nome computer> |
Questo evento viene generato ogni volta che Netlogon non è riuscito a completare l'accesso del ticket di rete perché un controller di dominio non ha compreso le modifiche. A causa di limitazioni nel protocollo Netlogon, il client Netlogon non è in grado di determinare se il controller di dominio con cui parla direttamente il client Netlogon è quello che non comprende le modifiche o se si tratta di un controller di dominio lungo la catena di inoltro che non comprende le modifiche.
-
Se il dominio del ticket di servizio è uguale al dominio dell'account computer, è probabile che il controller di dominio nel registro eventi non comprenda il flusso di accesso ai ticket di rete.
-
Se il dominio del ticket di servizio è diverso dal dominio dell'account computer, uno del controller di dominio lungo il percorso dal dominio dell'account computer al dominio dell'account del servizio non ha compreso il flusso di accesso ai ticket di rete
Questo evento è disattivato per impostazione predefinita. Microsoft consiglia agli utenti di aggiornare l'intera flotta prima di attivare l'evento.
Questo evento viene registrato quando AuditKerberosTicketLogonEvents è impostato su (2).
Domande frequenti
Un controller di dominio che non viene aggiornato non riconoscerà questa nuova struttura di richiesta. Ciò causerà l'esito negativo del controllo di sicurezza. In modalità compatibilità verrà usata la struttura di richiesta precedente. Questo scenario è ancora vulnerabile a CVE-2024-26248 e CVE-2024-29056.
Sì. Il motivo è che il nuovo flusso di accesso ai ticket di rete potrebbe dover essere instradato tra domini per raggiungere il dominio dell'account del servizio.
La convalida PAC può essere ignorata in determinate circostanze, inclusi, a titolo esemplibile, gli scenari seguenti:
-
Se il servizio dispone di privilegi TCB. In genere, i servizi in esecuzione nel contesto dell'account SYSTEM (ad esempio condivisioni file SMB o server LDAP) dispongono di questo privilegio.
-
Se il servizio viene eseguito da Utilità di pianificazione.
In caso contrario, la convalida PAC viene eseguita su tutti i flussi di autenticazione Kerberos in ingresso.
Questi CVE implicano un'elevazione dei privilegi locale in cui un account di servizio dannoso o compromesso in esecuzione su Windows Workstation tenta di elevarne i privilegi per ottenere i diritti di amministrazione locale. Questo significa che è interessata solo la Workstation Windows che accetta l'autenticazione Kerberos in ingresso.
