Suvestinė
"Windows" saugos naujinimai, išleisti 2024 m. balandžio 9 d. arba vėliau, išsprendžia didesnių teisių pažeidžiamumą naudojant "Kerberos PAC" tikrinimo protokolą. Teisių atributo sertifikatas (PAC) yra "Kerberos" tarnybos bilietų plėtinys. Joje yra informacijos apie autentifikuojantį vartotoją ir jo teises. Šis naujinimas išsprendžia pažeidžiamumą, kai proceso vartotojas gali apsimetimu parašu apeiti PAC parašo tikrinimo saugos patikras įtrauktas į KB5020805: Kaip valdyti Kerberos protokolo pakeitimus, susijusius su CVE-2022-37967.
Norėdami sužinoti daugiau apie šiuos pažeidžiamumą, apsilankykite CVE-2024-26248 ir CVE-2024-29056.
Imtis veiksmų
SVARBU1 veiksmas norint įdiegti naujinimą, išleistą 2024 m. balandžio 9 d. arba vėliau, NEBUS visiškai išspręstos saugos problemos CVE-2024-26248 ir CVE-2024-29056 pagal numatytuosius parametrus. Norėdami visiškai sumažinti visų įrenginių saugos problemą, visiškai atnaujinę aplinką, turite pereiti į įgalintą režimą (aprašytas 3 veiksme).
Kad apsaugotumėte savo aplinką ir išvengtumėte trikčių, rekomenduojame atlikti šiuos veiksmus:
-
NAUJINIMAS: "Windows" domenų valdiklius ir "Windows" klientus reikia atnaujinti "Windows" saugos naujinimu, išleistu 2024 m. balandžio 9 d. arba vėliau.
-
STEBĖTI: Audito įvykiai bus matomi suderinamumo režimu, kad būtų galima identifikuoti neatnaujintus įrenginius.
-
ĮGALINTI: Kai vykdymo režimas bus visiškai įgalintas jūsų aplinkoje, cve-2024-26248 ir CVE-2024-29056 aprašyti pažeidžiamumai bus sumažinti.
Fonas
Kai "Windows" darbo stotis atlieka PAC tikrinimą gaunamame "Kerberos" autentifikavimo sraute, ji atlieka naują užklausą (tinklo bilietų prisijungimą), kad patikrintų tarnybos kvitą. Užklausa iš pradžių persiunčiama "Workstations" domeno valdikliui (DC) naudojant "Netlogon".
Jei tarnybos abonementas ir kompiuterio paskyra priklauso skirtingiems domenams, užklausa perduodama per reikiamus pasitikėjimus tinklo registravimo tarnyba, kol pasiekia tarnybų domeną; kitu atveju DC kompiuterių paskyrų domene atlieka tikrinimą. DC tada iškviečia raktų paskirstymo centrą (KDC), kad patikrintų tarnybos kvito PAC parašus ir siunčia vartotojo ir įrenginio informaciją atgal į darbo vietą.
Jei užklausa ir atsakymas persiunčiami per patikimą (tuo atveju, kai tarnybos abonementas ir darbo vietos paskyra priklauso skirtingiems domenams), kiekviena su ja susijusi patikimumo filtrų įgaliojimo duomenų DC.
Pakeitimų laiko planavimo juosta
Naujinimai išleidžiami toliau nurodyta tvarka. Atkreipkite dėmesį, kad prireikus šis leidimų tvarkaraštis gali būti peržiūrėtas.
Pradinis diegimo etapas pradedamas nuo naujinimų, išleistų 2024 m. balandžio 9 d. Šis naujinimas įtraukia naują veikimą, kuris neleidžia padidinti teisių spragų, aprašytų CVE-2024-26248 ir CVE-2024-29056 , bet neįgalina, išskyrus atvejus, kai atnaujinami "Windows" domeno valdikliai ir "Windows" klientai aplinkoje.
Norėdami įgalinti naują veikimą ir sumažinti pažeidžiamumą, turite užtikrinti, kad būtų atnaujinta visa "Windows" aplinka (įskaitant domeno valdiklius ir klientus). Audito įvykiai bus užregistruoti, kad būtų lengviau identifikuoti neatnaujintus įrenginius.
Naujinimai išleistas 2024 m. spalio 15 d. arba vėliau, pakeis visus "Windows" domeno valdiklius ir klientus aplinkoje į įgalintą režimą pakeisdamas registro dalinio rakto parametrus į PacSignatureValidationLevel=3 ir CrossDomainFilteringLevel=4, užtikrindamas saugų veikimą pagal numatytuosius parametrus.
Administratorius gali nepaisyti parametrų Įgalinta pagal numatytuosius parametrus, kad būtų grąžintas suderinamumo režimas.
"Windows" saugos naujinimai, išleisti 2025 m. balandžio 8 d. arba vėliau, pašalins registro dalinių raktų PacSignatureValidationLevel ir CrossDomainFilteringLevel palaikymą ir įgalins naują saugų veikimą. Įdiegus šį naujinimą suderinamumo režimas nebus palaikomas.
Galimos problemos ir mažinimai
Gali kilti galimų problemų, įskaitant PAC tikrinimo ir kryžminio filtravimo triktis. 2024 m. balandžio 9 d. saugos naujinime yra atsarginė logika ir registro parametrai, kad būtų galima sumažinti šias problemas
Registro parametrai
Šis saugos naujinimas siūlomas "Windows" įrenginiams (įskaitant domeno valdiklius). Šiuos registro raktus, valdančius veikimą, reikia įdiegti tik Kerberos serveryje, kuris priima gaunamą Kerberos autentifikavimą ir pac tikrinimą.
|
Registro dalinis raktas |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Reikšmė |
PacSignatureValidationLevel |
|
|
Duomenų tipas |
REG_DWORD |
|
|
Duomenys |
2 |
Numatytasis (suderinamumas su nesupainiota aplinka) |
|
3 |
Vykdyti |
|
|
Reikia paleisti iš naujo? |
Ne |
|
|
Registro dalinis raktas |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Reikšmė |
CrossDomainFilteringLevel |
|
|
Duomenų tipas |
REG_DWORD |
|
|
Duomenys |
2 |
Numatytasis (suderinamumas su nesupainiota aplinka) |
|
4 |
Vykdyti |
|
|
Reikia paleisti iš naujo? |
Ne |
|
Šį registro raktą galima įdiegti ir "Windows" serveriuose, priimančius gaunamą Kerberos autentifikavimą, ir bet kuriame "Windows" domeno valdiklyje, kuris tikrina naują įėjimo į tinklo kvitą srautą.
|
Registro dalinis raktas |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Reikšmė |
AuditKerberosTicketLogonĮvykiai |
|
|
Duomenų tipas |
REG_DWORD |
|
|
Duomenys |
1 |
Numatytasis – registruoti kritinius įvykius |
|
2 |
Registruoti visus tinklo registravimo įvykius |
|
|
0 |
Neregistruoti tinklo registravimo įvykių |
|
|
Reikia paleisti iš naujo? |
Ne |
|
Įvykių žurnalai
Šie Kerberos audito įvykiai bus sugeneruoti "Kerberos" serveryje, kuris priima gaunamą "Kerberos" autentifikavimą. Šis "Kerberos" serveris atliks PAC tikrinimą, kuris naudoja naują tinklo bilietų įėjimo srautą.
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Informacinio |
|
Įvykio šaltinis |
Security-Kerberos |
|
Įvykio ID |
21 |
|
Įvykio tekstas |
Prisijungiant prie "Kerberos" tinklo kvito, abonemento <abonemento tarnybos kvito,> iš domeno <domeno>, DC <domeno valdiklio> atliko šiuos veiksmus. Norėdami gauti daugiau informacijos, apsilankykite https://go.microsoft.com/fwlink/?linkid=2262558. |
Šis įvykis rodomas, kai domeno valdiklis atliko neesminį veiksmą tinklo bilietų įėjimo srauto metu. Nuo šiol užregistruojami šie veiksmai:
-
Vartotojo SID buvo filtruoti.
-
Įrenginio SID buvo išfiltruoti.
-
Sudėtinė tapatybė pašalinta dėl SID filtravimo, neleidžiančio įrenginio tapatybei.
-
Sudėtinė tapatybė pašalinta dėl SID filtravimo, neleidžiančio įrenginio domeno vardui.
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Klaida |
|
Įvykio šaltinis |
Security-Kerberos |
|
Įvykio ID |
22 |
|
Įvykio tekstas |
Prisijungiant prie "Kerberos" tinklo bilietų, DC <DC> atmetė abonemento <abonemento> iš domeno <domeno> tarnybos kvitą dėl toliau pateiktų priežasčių. Norėdami gauti daugiau informacijos, apsilankykite https://go.microsoft.com/fwlink/?linkid=2262558. |
Šis įvykis rodomas, kai domeno valdiklis atmetė tinklo bilietų prisijungimo užklausą dėl įvykio priežasčių.
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Įspėjimas arba klaida |
|
Įvykio šaltinis |
Security-Kerberos |
|
Įvykio ID |
23 |
|
Įvykio tekstas |
Prisijungiant prie "Kerberos" tinklo kvito, abonemento <account_name> iš domeno <domain_name> tarnybos kvito nepavyko persiųsti domeno valdikliui, kad būtų galima aptarnauti užklausą. Norėdami gauti daugiau informacijos, apsilankykite https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Šis įvykis rodomas kaip įspėjimas, jei "PacSignatureValidationLevel " IR " CrossDomainFilteringLevel" nėra nustatyti kaip Įgalinti arba griežtesni. Kai registruojamas kaip įspėjimas, įvykis nurodo, kad tinklo bilietų įėjimo srautai susisiekę su domeno valdikliu arba lygiaverčiu įrenginiu, kuris nesuprato naujo mechanizmo. Autentifikavimui buvo leidžiama grįžti prie ankstesnio veikimo būdo.
-
Šis įvykis rodomas kaip klaida, jei "PacSignatureValidationLevel " ARBA " CrossDomainFilteringLevel" nustatyta kaip Įgalinti arba griežtesnė. Šis įvykis kaip "klaida" nurodo, kad tinklo bilietų įėjimo srautas susisiekė su domeno valdikliu arba lygiaverčiu įrenginiu, kuris nesuprato naujo mechanizmo. Autentifikavimas atmestas, todėl nepavyko grįžti prie ankstesnio veikimo būdo.
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Klaida |
|
Įvykio šaltinis |
Netlogon (Netlog) |
|
Įvykio ID |
5842 |
|
Įvykio tekstas |
Tinklo registravimo paslauga susidūrė su netikėta klaida apdorojant Kerberos tinklo bilietų įėjimo užklausą. Norėdami gauti daugiau informacijos, apsilankykite https://go.microsoft.com/fwlink/?linkid=2261497. Paslaugos kvito abonementas: <abonemento> Tarnybos bilietų domenas: <domeno> Darbo vietos pavadinimas: <kompiuterio pavadinimo> Būsena: <klaidos kodo> |
Šis įvykis generuojamas, kai tinklo registravimosi užklausoje įvyko netikėta klaida. Šis įvykis užregistruojamas, kai "AuditKerberosTicketLogonEvents " nustatyta į (1) arba naujesnę.
|
Įvykių žurnalas |
Sistema |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Netlogon (Netlog) |
|
Įvykio ID |
5843 |
|
Įvykio tekstas |
Tinklo registravimo tarnybai nepavyko persiųsti Kerberos tinklo bilietų įėjimo užklausos domeno valdikliui, <DC>. Norėdami gauti daugiau informacijos, apsilankykite https://go.microsoft.com/fwlink/?linkid=2261497. Paslaugos kvito abonementas: <abonemento> Tarnybos bilietų domenas: <domeno> Darbo vietos pavadinimas: <kompiuterio pavadinimo> |
Šis įvykis generuojamas, kai tinklo registravimosi funkcijai nepavyko užbaigti įėjimo į tinklo kvitą, nes domeno valdiklis nesuprato pakeitimų. Dėl "Netlogon" protokolo apribojimų tinklo registravimo klientas negali nustatyti, ar domenų valdiklis, su kuriuo tiesiogiai kalba registravimo klientas, nesupranta pakeitimų, ar tai yra domeno valdiklis, esantis peradresavimo grandinėje, kuri nesupranta pakeitimų.
-
Jei tarnybos bilietų domenas yra toks pat kaip kompiuterio abonemento domenas, tikėtina, kad įvykių žurnale esantis domeno valdiklis nesupranta tinklo bilietų įėjimo srauto.
-
Jei tarnybos bilietų domenas skiriasi nuo kompiuterio abonemento domeno, vienas iš domeno valdiklio pakeliui nuo kompiuterio abonemento domeno iki tarnybos abonemento domeno nesuprato tinklo bilietų įėjimo srauto
Šis įvykis yra išjungtas pagal numatytuosius parametrus. "Microsoft" rekomenduoja vartotojams pirmiausia atnaujinti visą laivyną prieš įjungiant įvykį.
Šis įvykis užregistruojamas, kai "AuditKerberosTicketLogonEvents " nustatyta kaip (2).
Dažnai užduodami klausimai (DUK)
Neatnaujintas domeno valdiklis neatpažins šios naujos užklausų struktūros. Dėl to nepavyks atlikti saugos patikros. Suderinamumo režimu bus naudojama senoji užklausos struktūra. Šis scenarijus vis dar pažeidžiamas CVE-2024-26248 ir CVE-2024-29056.
Taip. Taip yra todėl, kad naujas tinklo bilietų įėjimo srautas gali būti nukreiptas per domenus, kad pasiektumėte tarnybos abonemento domeną.
PAC tikrinimas gali būti praleistas tam tikromis aplinkybėmis, įskaitant, bet neapsiribojant, šiuos scenarijus:
-
Jei paslauga turi TCB teises. Paprastai šią teisę turi tarnybos, veikiančios sistemos paskyros kontekste (pvz., SMB failų bendrinimo vietos arba LDAP serveriai).
-
Jei tarnyba vykdoma iš užduočių planuoklės.
Kitu atveju PAC tikrinimas atliekamas su visais gaunamais "Kerberos" autentifikavimo srautais.
Šie CVEs susiję su vietiniu didesnių teisių padidinimu, kai kenkėjiška arba pažeista tarnybos paskyra, veikianti "Windows" darbo vietoje, bando padidinti savo teisę gauti vietinio administravimo teises. Tai reiškia, kad paveikta tik "Windows" darbo stotis, priimanti gaunamą "Kerberos" autentifikavimą.
