Kopsavilkums
Windows drošības atjauninājumi, kas izlaisti 2024. gada 9. aprīlī vai pēc tam, attiecas uz privilēģiju ievainojamību , izmantojot Kerberos PAC validācijas protokolu. Privilege Attribute Certificate (PAC) ir Kerberos pakalpojumu biļešu paplašinājums. Tajā ir informācija par autentificēšanas lietotāju un viņa privilēģijām. Šis atjauninājums novērš ievainojamību, kur šī procesa lietotājs var izlikties no paraksta, lai apietu PAC paraksta validācijas drošības pārbaudes, kas pievienotas programmā KB5020805: Kā pārvaldīt Kerberos protokola izmaiņas, kas saistītas ar CVE-2022-37967.
Lai uzzinātu vairāk par šīm ievainojamībām, apmeklējiet CVE-2024-26248un CVE-2024-29056.
Rīcība
SVARĪGI!1. darbība, lai instalētu 2024. gada 9. aprīlī izlaisto atjauninājumu, PILNĪBĀ neno tiks pilnībā atrisinātas drošības problēmas rīkē CVE-2024-26248 un CVE-2024-29056 pēc noklusējuma. Lai pilnībā mazinātu drošības problēmu visām ierīcēm, pārejiet uz izpildes režīmu (aprakstīts 3. darbībā), tiklīdz vide ir pilnībā atjaunināta.
Lai palīdzētu aizsargāt vidi un novērstu darbības pārtvērumus, iesakām veikt tālāk norādītās darbības.
-
ATJAUNINĀJUMS: Windows domēna kontrolleri un Windows klienti ir jāatjaunina ar Windows drošības atjauninājumu, kas izlaists 2024. gada 9. aprīlī vai pēc tam.
-
MONITORS: Audita notikumi būs redzami saderības režīmā, lai identificētu ierīces, kas nav atjauninātas.
-
IESPĒJOT: Kad ieviešanas režīms ir pilnībā iespējots jūsu vidē, CVE-2024-26248 un CVE-2024-29056 aprakstītās ievainojamības tiks novērstas.
Fons
Kad Windows darbstaciju veic PAC validāciju ienākošā Kerberos autentifikācijas plūsmā, tā veic jaunu pieprasījumu (tīkla biļešu pieteikšanās), lai validētu pakalpojuma biļeti. Pieprasījums sākotnēji tiek pārsūtīts uz workstations domēna kontrolleri (DC), izmantojot Netlogon.
Ja pakalpojuma konts un datora konts pieder dažādiem domēniem, pieprasījums tiek pārnests cauri nepieciešamajām netlogon uzticām, līdz tas sasniedz pakalpojumu domēnu. pretējā gadījumā domēnam DC domēnu kontos tiek veikta validācija. Pēc tam DC izsauc atslēgu adresātu centru (KDC), lai validētu pakalpojuma biļetes PAC parakstus un nosūtītu lietotāju un ierīču informāciju atpakaļ uz darbstaciju.
Ja pieprasījums un atbilde tiek pārsūtīta neuzticamā līmenī (gadījumā, ja pakalpojumu konts un darbstacijas konts pieder dažādiem domēniem), katra dc pāri drošības kontroles filtram filtrē ar to saistīta autorizācijas datus.
Izmaiņu laika grafiks
Atjauninājumi tālāk ir izlaistas. Ņemiet vērā, ka pēc nepieciešamības šis laidienu grafiks var tikt pārskatīts.
Sākotnējais izvietošanas posms sākas ar 2024. gada 9. aprīlī izlaistajiem atjauninājumiem. Šajā atjauninājumā pievienota jauna darbība, kas novērš CVE-2024-26248 un CVE-2024-29056 aprakstītās privilēģiju ievainojamības, taču tās netiek ieviestas, ja vien tiek atjauninātas gan Windows domēna kontrolleri, gan Windows klienti vidē.
Lai iespējotu jauno darbību un mazinātu ievainojamību, pārliecinieties, vai tiek atjaunināta visa jūsu Windows vide (tostarp domēna kontrolleri un klienti). Audita notikumi tiks reģistrēti, lai palīdzētu identificēt ierīces, kas nav atjauninātas.
Atjauninājumi izlaists 2024. gada 15. oktobrī vai pēc tam, visus Windows domēnu kontrollerus un klientus vidē pārvietos uz ieviesto režīmu, mainot reģistra apakšatslēgas iestatījumus uz PacSignatureValidationLevel=3 un CrossDomainFilteringLevel=4, pēc noklusējuma izpildot drošu darbību.
Lai atjaunotu saderības režīmu, administrators var ignorēt iestatījumus Ieviest pēc noklusējuma.
Windows drošības atjauninājumi, kas izlaisti 2025. gada 8. aprīlī vai pēc tam, noņems atbalstu reģistra apakšatslēgām PacSignatureValidationLevel un CrossDomainFilteringLevel un ieviesīs jaunu drošo darbību. Pēc šī atjauninājuma instalēšanas saderības režīmam netiks nodrošināts atbalsts.
Potenciālās problēmas un risku mazināšana
Iespējamas problēmas, tostarp PAC validācija un šķērsmeņu filtrēšanas kļūmes. 2024. gada 9. aprīļa drošības atjauninājumā ir iekļauta atkāpšanās loģika un reģistra iestatījumi, lai palīdzētu novērst šīs problēmas
Reģistra iestatījumi
Šis drošības atjauninājums ir pieejams Windows ierīcēm (tostarp domēnu kontrolleriem). Tālāk norādītās reģistra atslēgas, kas kontrolē tikai rīcību, ir jāizvieto Kerberos serverī, kas pieņem ienākošo Kerberos autentifikāciju un veic PAC validāciju.
|
Reģistra apakšatslēga |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Vērtība |
PacSignatureValidationLevel |
|
|
Datu tips |
REG_DWORD |
|
|
Dati |
2 |
Noklusējums (saderība ar nepārslogotu vidi) |
|
3 |
Ieviest |
|
|
Vai restartēt obligāti? |
Nē |
|
|
Reģistra apakšatslēga |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Vērtība |
CrossDomainFilteringLevel |
|
|
Datu tips |
REG_DWORD |
|
|
Dati |
2 |
Noklusējums (saderība ar nepārslogotu vidi) |
|
4 |
Ieviest |
|
|
Vai restartēt obligāti? |
Nē |
|
Šo reģistra atslēgu var izvietot gan Windows serveros, kas akceptē ienākošo Kerberos autentifikāciju, gan jebkurā Windows domēna kontrollerī, kas validē jauno tīkla biļešu pieteikšanās plūsmu ceļā.
|
Reģistra apakšatslēga |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Vērtība |
AuditKerberosTicketLogonEvents |
|
|
Datu tips |
REG_DWORD |
|
|
Dati |
1 |
Noklusējums — reģistrēt kritiskos notikumus |
|
2 |
Reģistrēt visus Netlogon pasākumus |
|
|
0 |
Netlogon notikumu ne žurnāls |
|
|
Vai restartēt obligāti? |
Nē |
|
Notikumu žurnāli
Kerberos audita notikumos tiks ģenerēti šādi Kerberos serveri, kas pieņem ienākošo Kerberos autentifikāciju. Šis Kerberos serveris izmanto PAC validāciju, kas izmanto jauno tīkla biļešu pieteikšanās plūsmu.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Informaīvs |
|
Notikuma avots |
Security-Kerberos |
|
Notikuma ID |
21 |
|
Notikuma teksts |
Kerberos tīkla biļešu pieteikšanās laikā <konta> no domēna <domēna> bija paveicis dc <domēna kontrollera> darbības. Lai iegūtu papildinformāciju, apmeklējiet vietni https://go.microsoft.com/fwlink/?linkid=2262558. |
Šis notikums tiek rādīts, kad domēna kontrolleris tīkla biļešu pieteikšanās plūsmas laikā veica ne fatālas darbības. Pašlaik tiek reģistrētas šādas darbības:
-
Lietotāju SID tika filtrēti.
-
Ierīces SID tika filtrēti.
-
Saliktā identitāte tika noņemta SID filtrēšanas dēļ, kas ir nedalāma ierīces identitāte.
-
Saliktā identitāte tika noņemta, jo SID filtrēšana disallomaksājot ierīces domēna nosaukumu.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Kļūda |
|
Notikuma avots |
Security-Kerberos |
|
Notikuma ID |
22 |
|
Notikuma teksts |
Kerberos tīkla biļešu pieteikšanās laikā pakalpojuma biļeti <konta> no domēna <domēna> noraidīja DC <DC> tālāk minēto iemeslu dēļ. Lai iegūtu papildinformāciju, apmeklējiet vietni https://go.microsoft.com/fwlink/?linkid=2262558. |
Šis notikums tiek parādīts, ja domēna kontrolleris liedza tīkla biļešu pieteikšanās pieprasījumu notikuma norādīto iemeslu dēļ.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums vai kļūda |
|
Notikuma avots |
Security-Kerberos |
|
Notikuma ID |
23 |
|
Notikuma teksts |
Kerberos tīkla biļešu pieteikšanās laikā konta biļeti vai <account_name> no domēna <domain_name> nevarēja pārsūtīt domēna kontrollerim, lai pakalpojums tiktu pieprasīts. Lai iegūtu papildinformāciju, apmeklējiet vietni https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Šis notikums tiek rādīts kā brīdinājums, ja PacSignatureValidationLevel AND CrossDomainFilteringLevel nav iestatīts uz Ieviest vai stingra. Ja esat pieteicies kā brīdinājums, notikums norāda, ka tīkla biļešu pieteikšanās notika ar domēna kontrolleri vai ekvivalentu ierīci, kas nesaprot jauno mehānismu. Autentifikācijai tika atļauts atkāpties pie iepriekšējās darbības.
-
Šis notikums tiek rādīts kā kļūda, ja PacSignatureValidationLevel OR CrossDomainFilteringLevel ir iestatīts uz Ieviest vai stingra. Šis notikums kā "kļūda" norāda, ka tīkla biļešu pieteikšanās plūsma sazinājās ar domēna kontrolleri vai ekvivalentu ierīci, kas nesaprata jauno mehānismu. Autentifikācija tika liegta, un to nevarēja izmantot iepriekšējās darbības dēļ.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Kļūda |
|
Notikuma avots |
Netlogon |
|
Notikuma ID |
5842 |
|
Notikuma teksts |
Pakalpojuma Netlogon radās neparedzēta kļūda, apstrādājot Kerberos tīkla biļešu pieteikšanās pieprasījumu. Lai iegūtu papildinformāciju, apmeklējiet vietni https://go.microsoft.com/fwlink/?linkid=2261497. Pakalpojuma biļešu konts: <konta> Pakalpojuma biļešu domēns: <domēna> Darbstacijas nosaukums: <datora nosaukuma> Statuss: <koda> |
Šis notikums tiek ģenerēts ikreiz, kad Netlogon tīkla biļešu pieteikšanās pieprasījumā radās neparedzēta kļūda. Šis notikums tiek reģistrēts, ja AuditKerberosTicketLogonEvents ir iestatīts uz (1) vai jaunāku versiju.
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Netlogon |
|
Notikuma ID |
5843 |
|
Notikuma teksts |
Netlogon pakalpojumam neizdevās pārsūtīt Kerberos tīkla biļešu pieteikšanās pieprasījumu domēna kontrollerim, <DC>. Lai iegūtu papildinformāciju, apmeklējiet vietni https://go.microsoft.com/fwlink/?linkid=2261497. Pakalpojuma biļešu konts: <konta> Pakalpojuma biļešu domēns: <domēna> Darbstacijas nosaukums: <datora nosaukuma> |
Šis notikums tiek ģenerēts ikreiz, kad Netlogon nevarēja pabeigt tīkla biļešu pieteikšanos, jo domēna kontrolleris nesaprata veiktās izmaiņas. Netlogon protokola ierobežojumu dēļ Netlogon klients nevar noteikt, vai domēna kontrolleris, ar ko Netlogon klients runā tieši, ir tas, kurš nesaprot veiktās izmaiņas, vai arī domēna kontrolleris pa pārsūtīšanas ķēdi, kas nesaprot veiktās izmaiņas.
-
Ja pakalpojuma biļešu domēns ir tāds pats kā datora konta domēns, iespējams, domēnu kontrolleris notikumu žurnālā nesaprot tīkla biļešu pieteikšanās plūsmu.
-
Ja pakalpojuma biļešu domēns atšķiras no datora konta domēna, kāds no domēna kontrollera ceļā no datora konta domēna uz pakalpojuma konta domēnu neizprata tīkla biļešu pieteikšanās plūsmu.
Šis notikums pēc noklusējuma ir izslēgts. Microsoft iesaka lietotājiem pirms notikuma ieslēgšanas atjaunināt visu datoru.
Šis notikums tiek reģistrēts, ja AuditKerberosTicketLogonEvents ir iestatīts uz (2).
Bieži uzdotie jautājumi (bieži uzdotie jautājumi)
Domēna kontrolleris, kas nav atjaunināts, neatpazīs šo jauno pieprasījuma struktūru. Tas izraisīs drošības pārbaudes atteici. Saderības režīmā tiks izmantota vecā pieprasījuma struktūra. Šis scenārijs joprojām ir neaizsargāts pret CVE-2024-26248un CVE-2024-29056.
Jā. Tas ir tāpēc, ka jaunā tīkla biļešu pieteikšanās plūsma, iespējams, būs jā maršrutē pa domēniem, lai piekļūtu pakalpojuma konta domēnam.
Noteiktos apstākļos PAC validācija var tikt izlaista, tostarp, bet ne tikai, šādos scenārijos:
-
Ja pakalpojumam ir TCB privilēģija. Parasti šīm privilēģijām parasti ir pakalpojumi, kas darbojas sistēmas konta kontekstā (piemēram, SMB failu koplietojumi vai LDAP serveri).
-
Ja pakalpojums tiek palaists no uzdevumu plānotāja.
Pretējā gadījumā PAC validācija tiek veikta visās ienākošās Kerberos autentifikācijas plūsmās.
Šajos CVEs ir iesaistīts lokāls privilēģiju pacēlums, kur ļaunprātīgs vai apdraudēts pakalpojuma konts, kas darbojas Windows darbstaciju, mēģina paaugstināt savas privilēģijas, lai iegūtu lokālās administrēšanas tiesības. Tas nozīmē, ka tiek ietekmēta tikai Windows darbstaciju akceptējot ienākošo Kerberos autentifikāciju.
