Samenvatting
De Windows-beveiligingsupdates die zijn uitgebracht op of na 9 april 2024, verhelpen beveiligingsproblemen met misbruik van bevoegdheden met het Kerberos PAC-validatieprotocol. Het Privilege Attribute Certificate (PAC) is een uitbreiding op Kerberos-servicetickets. Het bevat informatie over de verifiërende gebruiker en hun bevoegdheden. Deze update lost een beveiligingsprobleem op waarbij de gebruiker van het proces de handtekening kan vervalsen om beveiligingscontroles voor PAC-handtekeningvalidatie te omzeilen die zijn toegevoegd in KB5020805: Kerberos-protocolwijzigingen beheren met betrekking tot CVE-2022-37967.
Ga naar CVE-2024-26248 en CVE-2024-29056 voor meer informatie over deze beveiligingsproblemen.
Actie ondernemen
BELANGRIJKStap 1 voor het installeren van de update die is uitgebracht op of na 9 april 2024, worden de beveiligingsproblemen in CVE-2024-26248 en CVE-2024-29056 standaard NIET volledig opgelost. Als u het beveiligingsprobleem voor alle apparaten volledig wilt beperken, moet u overschakelen naar de modus Afgedwongen (beschreven in stap 3) zodra uw omgeving volledig is bijgewerkt.
Om uw omgeving te beschermen en storingen te voorkomen, raden we de volgende stappen aan:
-
UPDATE: Windows-domeincontrollers en Windows-clients moeten worden bijgewerkt met een Windows-beveiligingsupdate die is uitgebracht op of na 9 april 2024.
-
MONITOR: Controlegebeurtenissen zijn zichtbaar in de compatibiliteitsmodus om apparaten te identificeren die niet zijn bijgewerkt.
-
INSCHAKELEN: Nadat de afdwingingsmodus volledig is ingeschakeld in uw omgeving, worden de beveiligingsproblemen opgelost die worden beschreven in CVE-2024-26248 en CVE-2024-29056 .
Achtergrond
Wanneer een Windows-werkstation PAC-validatie uitvoert op een binnenkomende Kerberos-verificatiestroom, wordt er een nieuwe aanvraag (aanmelding bij netwerkticket) uitgevoerd om het serviceticket te valideren. De aanvraag wordt in eerste instantie doorgestuurd naar een domeincontroller (DC) van het domein Workstations via Netlogon.
Als het serviceaccount en het computeraccount tot verschillende domeinen behoren, wordt de aanvraag via Netlogon uitgevoerd via de benodigde vertrouwensrelaties totdat deze het servicesdomein bereikt; anders voert de DC in het domein van de computersaccounts de validatie uit. De domeincontroller roept vervolgens het Key Distribution Center (KDC) aan om de PAC-handtekeningen van het serviceticket te valideren en stuurt gebruikers- en apparaatgegevens terug naar het werkstation.
Als de aanvraag en het antwoord worden doorgestuurd naar een vertrouwensrelatie (in het geval dat het serviceaccount en het werkstationaccount tot verschillende domeinen behoren), filtert elke domeincontroller in de vertrouwensrelatie autorisatiegegevens die erop betrekking hebben.
Tijdlijn van wijzigingen
Updates worden als volgt vrijgegeven. Houd er rekening mee dat deze releaseplanning indien nodig kan worden herzien.
De eerste implementatiefase begint met de updates die zijn uitgebracht op 9 april 2024. Deze update voegt nieuw gedrag toe dat misbruik van bevoegdheden voorkomt, zoals beschreven in CVE-2024-26248 en CVE-2024-29056 , maar dwingt dit niet af, tenzij zowel Windows-domeincontrollers als Windows-clients in de omgeving worden bijgewerkt.
Om het nieuwe gedrag in te schakelen en de beveiligingsproblemen te verhelpen, moet u ervoor zorgen dat uw volledige Windows-omgeving (inclusief domeincontrollers en clients) wordt bijgewerkt. Controlegebeurtenissen worden vastgelegd om apparaten te identificeren die niet zijn bijgewerkt.
Updates uitgebracht op of na 15 oktober 2024, worden alle Windows-domeincontrollers en -clients in de omgeving verplaatst naar de modus Afgedwongen door de instellingen voor de registersubsleutel te wijzigen in PacSignatureValidationLevel=3 en CrossDomainFilteringLevel=4, waardoor het veilige gedrag standaard wordt afgedwongen.
De standaardinstellingen voor afgedwongen kunnen worden overschreven door een beheerder om terug te keren naar de compatibiliteitsmodus .
De Windows-beveiligingsupdates die zijn uitgebracht op of na 8 april 2025, zullen de ondersteuning voor de registersubsleutels PacSignatureValidationLevel en CrossDomainFilteringLevel verwijderen en het nieuwe beveiligingsgedrag afdwingen. Er is geen ondersteuning voor de compatibiliteitsmodus na de installatie van deze update.
Mogelijke problemen en oplossingen
Er kunnen mogelijke problemen optreden, waaronder PAC-validatie en fouten bij filteren tussen forests. De beveiligingsupdate van 9 april 2024 bevat terugvallogica en registerinstellingen om deze problemen te verhelpen
Registerinstellingen
Deze beveiligingsupdate wordt aangeboden aan Windows-apparaten (inclusief domeincontrollers). De volgende registersleutels die het gedrag bepalen, hoeven alleen te worden geïmplementeerd op de Kerberos-server die binnenkomende Kerberos-verificatie accepteert en PAC-validatie uitvoert.
|
Registersubsleutel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Waarde |
PacSignatureValidationLevel |
|
|
Gegevenstype |
REG_DWORD |
|
|
Gegevens |
2 |
Standaard (compatibiliteit met niet-gepatchte omgeving) |
|
3 |
Afdwingen |
|
|
Opnieuw opstarten vereist? |
Nee |
|
|
Registersubsleutel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Waarde |
CrossDomainFilteringLevel |
|
|
Gegevenstype |
REG_DWORD |
|
|
Gegevens |
2 |
Standaard (compatibiliteit met niet-gepatchte omgeving) |
|
4 |
Afdwingen |
|
|
Opnieuw opstarten vereist? |
Nee |
|
Deze registersleutel kan worden geïmplementeerd op zowel Windows-servers die binnenkomende Kerberos-verificatie accepteren, als op elke Windows-domeincontroller die de nieuwe aanmeldingsstroom voor netwerktickets onderweg valideert.
|
Registersubsleutel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Waarde |
AuditKerberosTicketLogonEvents |
|
|
Gegevenstype |
REG_DWORD |
|
|
Gegevens |
1 |
Standaardinstelling: kritieke gebeurtenissen registreren |
|
2 |
Alle Netlogon-gebeurtenissen registreren |
|
|
0 |
Netlogon-gebeurtenissen niet registreren |
|
|
Opnieuw opstarten vereist? |
Nee |
|
Gebeurtenislogboeken
De volgende Kerberos-controlegebeurtenissen worden gegenereerd op de Kerberos-server die binnenkomende Kerberos-verificatie accepteert. Deze Kerberos-server voert PAC-validatie uit, die gebruikmaakt van de nieuwe aanmeldingsstroom voor netwerktickets.
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenistype |
Informatieve |
|
Bron van gebeurtenis |
Security-Kerberos |
|
Gebeurtenis-id |
21 |
|
Gebeurtenistekst |
Tijdens de aanmelding bij kerberos-netwerkticket heeft het serviceticket voor account <account> van domein <domein> de volgende acties uitgevoerd door DC <domeincontroller>. Ga voor meer informatie naar https://go.microsoft.com/fwlink/?linkid=2262558. |
Deze gebeurtenis wordt weergegeven wanneer een domeincontroller een niet-fatale actie heeft uitgevoerd tijdens een aanmeldingsstroom voor netwerktickets. Vanaf nu worden de volgende acties geregistreerd:
-
Gebruikers-SID's zijn gefilterd.
-
Apparaat-SID's zijn gefilterd.
-
De samengestelde identiteit is verwijderd omdat SID-filtering de identiteit van het apparaat niet toewijst.
-
De samengestelde identiteit is verwijderd omdat sid-filtering de domeinnaam van het apparaat niet heeft toegewezen.
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenistype |
Fout |
|
Bron van gebeurtenis |
Security-Kerberos |
|
Gebeurtenis-id |
22 |
|
Gebeurtenistekst |
Tijdens het aanmelden bij Kerberos-netwerkticket is het serviceticket voor Account <Account> van Domein <Domein> geweigerd door DC <DC-> om de onderstaande redenen. Ga voor meer informatie naar https://go.microsoft.com/fwlink/?linkid=2262558. |
Deze gebeurtenis wordt weergegeven wanneer een domeincontroller de aanmeldingsaanvraag voor netwerktickets heeft geweigerd om de redenen die in de gebeurtenis worden weergegeven.
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenistype |
Waarschuwing of fout |
|
Bron van gebeurtenis |
Security-Kerberos |
|
Gebeurtenis-id |
23 |
|
Gebeurtenistekst |
Tijdens het aanmelden bij kerberos-netwerkticket kan het serviceticket voor account <account_name> van domein <domain_name> niet worden doorgestuurd naar een domeincontroller om de aanvraag te verwerken. Ga voor meer informatie naar https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Deze gebeurtenis wordt weergegeven als een waarschuwing als PacSignatureValidationLevel AND CrossDomainFilteringLevel niet is ingesteld op Afdwingen of strenger. Wanneer de gebeurtenis wordt geregistreerd als een waarschuwing, geeft de gebeurtenis aan dat de aanmeldingsstromen voor netwerktickets contact hebben gemaakt met een domeincontroller of een equivalent apparaat dat het nieuwe mechanisme niet begrijpt. De verificatie mag terugvallen op eerder gedrag.
-
Deze gebeurtenis wordt weergegeven als een fout als PacSignatureValidationLevel OF CrossDomainFilteringLevel is ingesteld op Afdwingen of strenger. Deze gebeurtenis als 'fout' geeft aan dat de aanmeldingsstroom voor netwerktickets contact heeft gemaakt met een domeincontroller of een gelijkwaardig apparaat dat het nieuwe mechanisme niet begrijpt. De verificatie is geweigerd en kan niet terugvallen op eerder gedrag.
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenistype |
Fout |
|
Bron van gebeurtenis |
Netlogon |
|
Gebeurtenis-id |
5842 |
|
Gebeurtenistekst |
Er is een onverwachte fout opgetreden in de Netlogon-service bij het verwerken van een aanmeldingsaanvraag voor kerberos-netwerktickets. Ga voor meer informatie naar https://go.microsoft.com/fwlink/?linkid=2261497. Serviceticketaccount: <-account> Serviceticketdomein: <domein> Naam van werkstation: <machinenaam> Status: <foutcode> |
Deze gebeurtenis wordt gegenereerd wanneer Netlogon een onverwachte fout heeft opgetreden tijdens een aanmeldingsaanvraag voor netwerktickets. Deze gebeurtenis wordt geregistreerd wanneer AuditKerberosTicketLogonEvents is ingesteld op (1) of hoger.
|
Gebeurtenislogboek |
Systeem |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Netlogon |
|
Gebeurtenis-id |
5843 |
|
Gebeurtenistekst |
De Netlogon-service kan geen aanmeldingsaanvraag voor kerberos-netwerktickets doorsturen naar de domeincontroller <DC->. Ga voor meer informatie naar https://go.microsoft.com/fwlink/?linkid=2261497. Serviceticketaccount: <-account> Serviceticketdomein: <domein> Naam van werkstation: <machinenaam> |
Deze gebeurtenis wordt gegenereerd wanneer Netlogon de aanmelding van het netwerkticket niet kon voltooien omdat een domeincontroller de wijzigingen niet begrijpt. Vanwege beperkingen in het Netlogon-protocol kan de Netlogon-client niet bepalen of de domeincontroller waarmee de Netlogon-client rechtstreeks praat, degene is die de wijzigingen niet begrijpt of dat het een domeincontroller in de doorstuurketen is die de wijzigingen niet begrijpt.
-
Als het serviceticketdomein hetzelfde is als het domein van het computeraccount, is het waarschijnlijk dat de domeincontroller in het gebeurtenislogboek de aanmeldingsstroom voor netwerktickets niet begrijpt.
-
Als het serviceticketdomein verschilt van het domein van het computeraccount, heeft een van de domeincontrollers onderweg van het domein van het machineaccount naar het domein van het serviceaccount de aanmeldingsstroom voor netwerktickets niet begrepen
Deze gebeurtenis is standaard uitgeschakeld. Microsoft raadt gebruikers aan eerst hun volledige vloot bij te werken voordat ze de gebeurtenis inschakelen.
Deze gebeurtenis wordt geregistreerd wanneer AuditKerberosTicketLogonEvents is ingesteld op (2).
Veelgestelde vragen (FAQ)
Een domeincontroller die niet is bijgewerkt, herkent deze nieuwe aanvraagstructuur niet. Hierdoor mislukt de beveiligingscontrole. In de compatibiliteitsmodus wordt de oude aanvraagstructuur gebruikt. Dit scenario is nog steeds kwetsbaar voor CVE-2024-26248 en CVE-2024-29056.
Jawel. Dit komt omdat de nieuwe aanmeldingsstroom voor netwerktickets mogelijk moet worden gerouteerd tussen domeinen om het domein van het serviceaccount te bereiken.
PAC-validatie kan in bepaalde omstandigheden worden overgeslagen, met inbegrip van, maar niet beperkt tot, de volgende scenario's:
-
Als de service TCB-bevoegdheid heeft. Over het algemeen hebben services die worden uitgevoerd in de context van het SYSTEM-account (zoals SMB-bestandsshares of LDAP-servers) deze bevoegdheid.
-
Als de service wordt uitgevoerd vanuit Taakplanner.
Anders wordt PAC-validatie uitgevoerd op alle binnenkomende Kerberos-verificatiestromen.
Deze CVE's hebben betrekking op lokale uitbreiding van bevoegdheden waarbij een kwaadwillend of gecompromitteerd serviceaccount dat wordt uitgevoerd op het Windows-werkstation probeert hun bevoegdheden te verhogen om lokale beheerrechten te verkrijgen. Dit betekent dat alleen het Windows-werkstation dat binnenkomende Kerberos-verificatie accepteert, wordt beïnvloed.
