요약
2024년 4월 9일 또는 그 이후에 릴리스된 Windows 보안 업데이트는 Kerberos PAC 유효성 검사 프로토콜을 사용하여 권한 상승 취약성을 해결합니다. PAC(Privilege Attribute Certificate)는 Kerberos 서비스 티켓에 대한 확장입니다. 여기에는 인증 사용자 및 해당 권한에 대한 정보가 포함되어 있습니다. 이 업데이트는 프로세스 사용자가 서명을 스푸핑하여 CVE-2022-37967과 관련된 Kerberos 프로토콜 변경 내용을 관리하는 방법 KB5020805 추가된 PAC 서명 유효성 검사 보안 검사를 우회할 수 있는 취약성을 수정합니다.
이러한 취약성에 대해 자세히 알아보려면 CVE-2024-26248 및 CVE-2024-29056을 방문하세요.
조치 취하기
중요 2024년 4월 9일 또는 그 이후에 릴리스된 업데이트를 설치하는 1단계에서는 기본적으로 CVE-2024-26248 및 CVE-2024-29056 의 보안 문제를 완전히 해결하지 않습니다. 모든 디바이스의 보안 문제를 완전히 완화하려면 환경이 완전히 업데이트되면 강제 적용 모드(3단계에서 설명)로 이동해야 합니다.
환경을 보호하고 중단을 방지하려면 다음 단계를 수행하는 것이 좋습니다.
-
업데이트: Windows 도메인 컨트롤러 및 Windows 클라이언트는 2024년 4월 9일 또는 그 이후에 릴리스된 Windows 보안 업데이트로 업데이트해야 합니다.
-
모니터: 감사 이벤트는 호환 성 모드로 표시되어 업데이트되지 않은 디바이스를 식별합니다.
-
사용: 환경에서 적용 모드를 완전히 사용하도록 설정하면 CVE-2024-26248 및 CVE-2024-29056 에 설명된 취약성이 완화됩니다.
배경
Windows 워크스테이션이 인바운드 Kerberos 인증 흐름에서 PAC 유효성 검사를 수행하면 새 요청(네트워크 티켓 로그온)을 수행하여 서비스 티켓의 유효성을 검사합니다. 요청은 처음에 Netlogon을 통해 워크스테이션 도메인의 DC(도메인 컨트롤러)로 전달됩니다.
서비스 계정과 컴퓨터 계정이 서로 다른 도메인에 속하는 경우 요청은 서비스 도메인에 도달할 때까지 Netlogon을 통해 필요한 트러스트 간에 전달됩니다. 그렇지 않으면 컴퓨터 계정 도메인의 DC에서 유효성 검사를 수행합니다. 그런 다음 DC는 KDC(키 배포 센터)를 호출하여 서비스 티켓의 PAC 서명의 유효성을 검사하고 사용자 및 디바이스 정보를 워크스테이션으로 다시 보냅니다.
요청 및 회신이 트러스트 간에 전달되는 경우(서비스 계정 및 워크스테이션 계정이 서로 다른 도메인에 속하는 경우) 트러스트의 각 DC는 트러스트와 관련된 권한 부여 데이터를 필터링합니다.
변경 시간 표시 막대
업데이트 다음과 같이 릴리스됩니다. 이 릴리스 일정은 필요에 따라 수정될 수 있습니다.
초기 배포 단계는 2024년 4월 9일에 릴리스된 업데이트로 시작됩니다. 이 업데이트는 CVE-2024-26248 및 CVE-2024-29056에 설명된 권한 상승 취약성을 방지하지만 환경의 Windows 도메인 컨트롤러와 Windows 클라이언트가 모두 업데이트되지 않는 한 적용하지 않는 새로운 동작을 추가합니다.
새 동작을 사용하도록 설정하고 취약성을 완화하려면 전체 Windows 환경(도메인 컨트롤러와 클라이언트 모두 포함)이 업데이트되었는지 확인해야 합니다. 감사 이벤트는 업데이트되지 않은 디바이스를 식별하는 데 도움이 되도록 기록됩니다.
2024년 10월 15일 또는 그 이후에 릴리스된 업데이트 레지스트리 하위 키 설정을 PacSignatureValidationLevel=3 및 CrossDomainFilteringLevel=4로 변경하여 환경의 모든 Windows 도메인 컨트롤러 및 클라이언트를 강제 모드로 이동하고 기본적으로 보안 동작을 적용합니다.
호환성 모드로 되돌리기 관리자가 기본값으로 적용 설정을 재정의할 수 있습니다.
2025년 4월 8일 또는 그 이후에 릴리스된 Windows 보안 업데이트는 레지스트리 하위 키 PacSignatureValidationLevel 및 CrossDomainFilteringLevel 에 대한 지원을 제거하고 새로운 보안 동작을 적용합니다. 이 업데이트를 설치한 후에는 호환성 모드가 지원되지 않습니다.
잠재적인 문제 및 완화
PAC 유효성 검사 및 포리스트 간 필터링 실패를 포함하여 발생할 수 있는 잠재적인 문제가 있습니다. 2024년 4월 9일 보안 업데이트에는 이러한 문제를 완화하는 데 도움이 되는 대체 논리 및 레지스트리 설정이 포함되어 있습니다.
레지스트리 설정
이 보안 업데이트는 Windows 디바이스(도메인 컨트롤러 포함)에 제공됩니다. 동작을 제어하는 다음 레지스트리 키는 인바운드 Kerberos 인증을 수락하고 PAC 유효성 검사를 수행하는 Kerberos 서버에만 배포해야 합니다.
|
레지스트리 하위 키 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
값 |
PacSignatureValidationLevel |
|
|
데이터 형식 |
REG_DWORD |
|
|
데이터 |
2 |
기본값(패치되지 않은 환경과의 호환성) |
|
3 |
적용 |
|
|
다시 시작해야 합니까? |
아니요 |
|
|
레지스트리 하위 키 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
값 |
CrossDomainFilteringLevel |
|
|
데이터 형식 |
REG_DWORD |
|
|
데이터 |
2 |
기본값(패치되지 않은 환경과의 호환성) |
|
4 |
적용 |
|
|
다시 시작해야 합니까? |
아니요 |
|
이 레지스트리 키는 인바운드 Kerberos 인증을 수락하는 Windows 서버와 새 네트워크 티켓 로그온 흐름의 유효성을 검사하는 모든 Windows 도메인 컨트롤러에 배포할 수 있습니다.
|
레지스트리 하위 키 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
값 |
AuditKerberosTicketLogonEvents |
|
|
데이터 형식 |
REG_DWORD |
|
|
데이터 |
1 |
기본값 – 중요 이벤트 로그 |
|
2 |
모든 Netlogon 이벤트 로그 |
|
|
0 |
Netlogon 이벤트를 기록하지 마세요. |
|
|
다시 시작해야 합니까? |
아니요 |
|
이벤트 로그
다음 Kerberos 감사 이벤트는 인바운드 Kerberos 인증을 허용하는 Kerberos 서버에 생성됩니다. 이 Kerberos 서버는 새 네트워크 티켓 로그온 흐름을 사용하는 PAC 유효성 검사를 수행합니다.
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
정보 제공 |
|
이벤트 소스 |
Security-Kerberos |
|
이벤트 ID |
21 |
|
이벤트 텍스트 |
Kerberos 네트워크 티켓 로그온 중에 도메인 <도메인> 계정 <계정> 대한 서비스 티켓은 DC <도메인 컨트롤러> 다음 작업을 수행했습니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2262558 방문하세요. |
이 이벤트는 네트워크 티켓 로그온 흐름 중에 도메인 컨트롤러가 치명적이 아닌 작업을 수행한 경우에 표시됩니다. 현재 다음 작업이 기록됩니다.
-
사용자 SID가 필터링되었습니다.
-
디바이스 SID가 필터링되었습니다.
-
디바이스의 ID를 허용하지 않는 SID 필터링으로 인해 복합 ID가 제거되었습니다.
-
디바이스의 도메인 이름을 허용하지 않는 SID 필터링으로 인해 복합 ID가 제거되었습니다.
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
Error |
|
이벤트 소스 |
Security-Kerberos |
|
이벤트 ID |
22 |
|
이벤트 텍스트 |
Kerberos 네트워크 티켓 로그온 중에 도메인 <도메인> 계정 <계정> 대한 서비스 티켓이 아래 이유로 DC <DC> 거부되었습니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2262558 방문하세요. |
이 이벤트는 도메인 컨트롤러가 이벤트에 표시된 이유로 네트워크 티켓 로그온 요청을 거부했을 때 표시됩니다.
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
경고 또는 오류 |
|
이벤트 소스 |
Security-Kerberos |
|
이벤트 ID |
23 |
|
이벤트 텍스트 |
Kerberos 네트워크 티켓 로그온 중에 도메인 <domain_name> 계정 <account_name> 대한 서비스 티켓을 도메인 컨트롤러에 전달하여 요청을 서비스할 수 없습니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2262558 방문하세요. |
-
이 이벤트는 PacSignatureValidationLevel AND CrossDomainFilteringLevel이 적용 또는 더 엄격하게 설정되지 않은 경우 경고로 표시됩니다. 경고로 기록된 경우 이벤트는 네트워크 티켓 로그온 흐름이 도메인 컨트롤러 또는 새 메커니즘을 이해하지 못하는 동등한 디바이스에 연결되었음을 나타냅니다. 인증은 이전 동작으로 대체될 수 있었습니다.
-
이 이벤트는 PacSignatureValidationLevel OR CrossDomainFilteringLevel이 적용 또는 더 엄격하게 설정된 경우 오류로 표시됩니다. 이 이벤트를 "오류"로 지정하면 네트워크 티켓 로그온 흐름이 도메인 컨트롤러 또는 새 메커니즘을 이해하지 못하는 동등한 디바이스에 연결되었음을 나타냅니다. 인증이 거부되었으며 이전 동작으로 대체될 수 없습니다.
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
Error |
|
이벤트 소스 |
Netlogon |
|
이벤트 ID |
5842 |
|
이벤트 텍스트 |
Netlogon 서비스에서 Kerberos 네트워크 티켓 로그온 요청을 처리할 때 예기치 않은 오류가 발생했습니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2261497 방문하세요. 서비스 티켓 계정: <계정> 서비스 티켓 도메인: <도메인> 워크스테이션 이름: <컴퓨터 이름> 상태: <오류 코드> |
이 이벤트는 네트워크 티켓 로그온 요청 중에 Netlogon에 예기치 않은 오류가 발생할 때마다 생성됩니다. AuditKerberosTicketLogonEvents가 (1) 이상으로 설정된 경우 이 이벤트가 기록됩니다.
|
이벤트 로그 |
시스템 |
|
이벤트 형식 |
경고 |
|
이벤트 소스 |
Netlogon |
|
이벤트 ID |
5843 |
|
이벤트 텍스트 |
Netlogon 서비스가 Kerberos 네트워크 티켓 로그온 요청을 도메인 컨트롤러 <DC> 전달하지 못했습니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2261497 방문하세요. 서비스 티켓 계정: <계정> 서비스 티켓 도메인: <도메인> 워크스테이션 이름: <컴퓨터 이름> |
이 이벤트는 도메인 컨트롤러가 변경 내용을 이해하지 못했기 때문에 Netlogon이 네트워크 티켓 로그온을 완료할 수 없을 때마다 생성됩니다. Netlogon 프로토콜의 제한으로 인해 Netlogon 클라이언트는 Netlogon 클라이언트가 직접 통신하는 도메인 컨트롤러가 변경 내용을 이해하지 못하는 도메인 컨트롤러인지 또는 변경 내용을 이해하지 못하는 전달 체인을 따라 도메인 컨트롤러인지 여부를 확인할 수 없습니다.
-
서비스 티켓 도메인이 컴퓨터 계정의 도메인과 동일한 경우 이벤트 로그의 도메인 컨트롤러가 네트워크 티켓 로그온 흐름을 이해하지 못할 수 있습니다.
-
서비스 티켓 도메인이 컴퓨터 계정의 도메인과 다른 경우 컴퓨터 계정의 도메인에서 서비스 계정의 도메인으로 가는 도중에 도메인 컨트롤러 중 하나가 네트워크 티켓 로그온 흐름을 이해하지 못했습니다.
이 이벤트는 기본적으로 해제되어 있습니다. 이벤트를 켜기 전에 사용자가 먼저 전체 플릿을 업데이트하는 것이 좋습니다.
AuditKerberosTicketLogonEvents가 (2)로 설정되면 이 이벤트가 기록됩니다.
자주 묻는 질문(FAQ)
업데이트되지 않은 도메인 컨트롤러는 이 새 요청 구조를 인식하지 않습니다. 이로 인해 보안 검사 실패합니다. 호환 모드에서는 이전 요청 구조가 사용됩니다. 이 시나리오는 CVE-2024-26248 및 CVE-2024-29056에 여전히 취약합니다.
예. 이는 새 네트워크 티켓 로그온 흐름이 서비스 계정의 도메인에 도달하기 위해 도메인 간에 라우팅되어야 할 수 있기 때문입니다.
PAC 유효성 검사는 다음 시나리오를 포함하지만 이에 국한되지 않는 특정 상황에서 건너뛸 수 있습니다.
-
서비스에 TCB 권한이 있는 경우 일반적으로 SYSTEM 계정의 컨텍스트에서 실행되는 서비스(예: SMB 파일 공유 또는 LDAP 서버)에는 이 권한이 있습니다.
-
서비스가 작업 스케줄러에서 실행되는 경우
그렇지 않으면 모든 인바운드 Kerberos 인증 흐름에서 PAC 유효성 검사가 수행됩니다.
이러한 CVE에는 Windows 워크스테이션에서 실행되는 악의적이거나 손상된 서비스 계정이 로컬 관리 권한을 얻기 위해 권한을 높이려고 시도하는 로컬 권한 상승이 포함됩니다. 즉, 인바운드 Kerberos 인증을 수락하는 Windows 워크스테이션만 영향을 받습니다.
