KB5020805: como gerenciar as alterações do protocolo Kerberos relacionadas ao CVE-2022-37967

Aplica-se a
Windows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Observação

  • Atualizado
  • 10 de abril de 2023: Atualizou a "Terceira fase de implantação" de 11 de abril de 2023 a 13 de junho de 2023 na seção "Tempo de atualizações para abordar a CVE-2022-37967".

Neste artigo

Resumo

As atualizações do Windows de 8 de novembro de 2022 corrigem as vulnerabilidades do bypass de segurança e da elevação de privilégio com assinaturas do PAC (certificado de atributos de privilégio). Essa atualização de segurança corrige as vulnerabilidades do Kerberos em que um invasor pode alterar digitalmente as assinaturas PAC, aumentando seus privilégios.

Para ajudar a proteger seu ambiente, instale essa atualização do Windows em todos os dispositivos, incluindo controladores de domínio do Windows. Todos os controladores de domínio em seu domínio devem ser atualizados primeiro antes de alternar a atualização para o modo de imposição.

Para saber mais sobre essas vulnerabilidades, consulte CVE-2022-37967.

Tome medidas

Para ajudar a proteger seu ambiente e evitar interrupções, recomendamos que você siga as seguintes etapas:

  1. ATUALIZE seus controladores de domínio do Windows com uma atualização do Windows lançada em ou após 8 de novembro de 2022.
  2. MOVA seus controladores de domínio do Windows para o modo de auditoria usando a seção configuração da Chave do Registro .
  3. MONITORE eventos arquivados durante o modo auditoria para proteger seu ambiente.
  4. HABILITAR Modo de imposição para corrigir o CVE-2022-37967 em seu ambiente.

Observação A etapa 1 da instalação de atualizações lançadas em ou após 8 de novembro de 2022 NÃO resolverá os problemas de segurança no CVE-2022-37967 para dispositivos Windows por padrão. Para atenuar totalmente o problema de segurança para todos os dispositivos, você deve migrar para o modo de auditoria (descrito na etapa 2) seguido pelo modo de imposição (descrito na etapa 4) o mais rápido possível em todos os controladores de domínio do Windows.

Importante A partir de julho de 2023, o modo de imposição será habilitado em todos os controladores de domínio do Windows e bloqueará conexões vulneráveis de dispositivos não compatíveis.  Nesse momento, você não poderá desabilitar a atualização, mas poderá voltar para a configuração do modo de auditoria. O modo de auditoria será removido em outubro de 2023, conforme descrito na seção Tempo de atualizações para resolver a vulnerabilidade do Kerberos CVE-2022-37967.

Tempo de atualizações para resolver o CVE-2022-37967

As atualizações serão lançadas em fases: a fase inicial para atualizações lançadas em ou após 8 de novembro de 2022 e a fase de imposição para atualizações lançadas em ou após 13 de junho de 2023.

08 de novembro de 2022 – Fase inicial de implantação

A fase de implantação inicial começa com as atualizações do Windows lançadas em 8 de novembro de 2022 e continua com as atualizações posteriores do Windows até a fase de imposição. Esta atualização adiciona assinaturas ao buffer do PAC do Kerberos, mas não verifica se há assinaturas durante a autenticação. Assim, o modo seguro é desabilitado por padrão.

Esta atualização:

  • Adiciona assinaturas ao buffer do PAC do Kerberos.
  • Adiciona medidas para resolver a vulnerabilidade do bypass de segurança no protocolo Kerberos.
13 de dezembro de 2022: segunda fase de implantação

A segunda fase de implantação começa com as atualizações lançadas em 13 de dezembro de 2022. Essas e atualizações posteriores fazem alterações no protocolo Kerberos para auditar dispositivos Windows, movendo os controladores de domínio do Windows para o modo de auditoria.

Com essa atualização, todos os dispositivos estarão no modo auditoria por padrão:

  • Se a assinatura estiver ausente ou inválida, a autenticação será permitida. Além disso, um log de auditoria será criado.
  • Se a assinatura estiver ausente, crie um evento e permita a autenticação.
  • Se a assinatura estiver presente, valide-a. Se a assinatura estiver incorreta, crie um evento e permita a autenticação.
13 de junho de 2023 - Terceira fase de implantação

As atualizações do Windows lançadas em ou após 13 de junho de 2023 farão o seguinte:

  • Remova a capacidade de desabilitar a adição de assinatura do PAC definindo a subchave KrbtgtFullPacSignature como um valor de 0.
11 de julho de 2023: fase de imposição inicial

As atualizações do Windows lançadas em ou após 11 de julho de 2023 farão o seguinte:

  • Remove a capacidade de definir o valor 1 para a subchave KrbtgtFullPacSignature.
  • Migra a atualização para o modo de imposição (padrão) (KrbtgtFullPacSignature = 3) que pode ser substituída por um administrador com uma configuração de auditoria explícita.
10 de outubro de 2023: fase de imposição completa

As atualizações do Windows lançadas em ou após 10 de outubro de 2023 farão o seguinte:

  • Remover o suporte para a subchave de registro KrbtgtFullPacSignature.
  • Remover o suporte para o modo de auditoria.
  • Todos os tíquetes de serviço sem as novas assinaturas PAC terão a autenticação negada.

Diretrizes de implantação

Para implantar as atualizações do Windows datadas de 8 de novembro de 2022 ou atualizações posteriores do Windows, siga estas etapas:

  1. ATUALIZE seus controladores de domínio do Windows com uma atualização lançada em ou após 8 de novembro de 2022.
  2. MIGRE seus controladores de domínio para o modo de auditoria usando a seção Configuração da Chave do Registro.
  3. MONITORE eventos arquivados durante o modo de auditoria para ajudar a proteger seu ambiente.
  4. HABILITAR Modo de imposição para corrigir o CVE-2022-37967 em seu ambiente.

ETAPA 1: ATUALIZAR

Implante as atualizações de 8 de novembro de 2022 ou posteriores em todos os DCs (controladores de domínio) do Windows aplicáveis. Depois de implantar a atualização, os controladores de domínio do Windows que foram atualizados terão assinaturas adicionadas ao Buffer do PAC do Kerberos e ficarão inseguros por padrão (a assinatura do PAC não é validada).

  • Durante a atualização, mantenha o valor do registro KrbtgtFullPacSignature no estado padrão até que todos os controladores de domínio do Windows sejam atualizados.

ETAPA 2: MIGRAR

Depois que os controladores de domínio do Windows forem atualizados, alterne para o modo de auditoria alterando o valor krbtgtFullPacSignature para 2.

ETAPA 3: LOCALIZAR/MONITORAR

Identifique as áreas que estão faltando assinaturas PAC ou têm assinaturas PAC que falham na validação por meio dos logs de eventos disparados durante o modo auditoria.

  • Verifique se o nível funcional do domínio está definido como pelo menos 2008 ou superior antes de migrar para o modo de imposição. Migrar para o modo de imposição com domínios no nível funcional do domínio de 2003 pode resultar em falhas de autenticação.
  • Eventos de auditoria serão exibidos se seu domínio não estiver totalmente atualizado ou se ainda existirem tíquetes de serviço pendentes emitidos anteriormente em seu domínio.
  • Continue monitorando os logs de eventos adicionais arquivados que indicam assinaturas PAC ausentes ou falhas de validação de assinaturas PAC existentes.
  • Depois que todo o domínio for atualizado e todos os tíquetes pendentes expirarem, os eventos de auditoria não devem mais aparecer. Em seguida, você deve ser capaz de migrar para o modo de imposição sem falhas.

ETAPA 4: HABILITAR

Habilite o modo de imposição para corrigir o CVE-2022-37967 em seu ambiente.

  • Depois que todos os eventos de auditoria tiverem sido resolvidos e não aparecerem mais, migre seus domínios para o modo de imposição atualizando o valor do registro KrbtgtFullPacSignature, conforme descrito na seção Configurações da Chave do Registro.
  • Se um tíquete de serviço tiver assinatura PAC inválida ou estiver faltando assinaturas PAC, a validação falhará e um evento de erro será registrado.

Configurações da Chave do Registro

Protocolo Kerberos

Depois de instalar as atualizações do Windows datadas de 8 de novembro de 2022, a seguinte chave de registro ficará disponível para o protocolo Kerberos:

  • KrbtgtFullPacSignature

    Essa chave do Registro é usada para bloquear a implantação das alterações do Kerberos. Essa chave do registro é temporária e não será mais lida após a data completa de execução de 10 de outubro de 2023. 

    Chave do Registro HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
    Valor KrbtgtFullPacSignature
    Tipo de dados REG_DWORD
    Dados 0 – Desabilitado
    1 – Novas assinaturas são adicionadas, mas não verificadas. (Configuração padrão)
    2 - Modo de auditoria. Novas assinaturas são adicionadas e verificadas se estiverem presentes. Se a assinatura estiver ausente ou inválida, a autenticação será permitida e os logs de auditoria serão criados.
    3 - Modo de imposição. Novas assinaturas são adicionadas e verificadas se estiverem presentes. Se a assinatura estiver ausente ou inválida, a autenticação será negada e os logs de auditoria serão criados.
    Reinicialização necessária? Não

    Observação Se você precisar alterar o valor do registro KrbtgtFullPacSignature , adicione manualmente e configure a chave do registro para substituir o valor padrão.

No modo de auditoria, você poderá encontrar um dos seguintes erros se as assinaturas PAC estiverem ausentes ou inválidas. Se esse problema continuar durante o modo de imposição, esses eventos serão registrados como erros.

Se você encontrar um erro em seu dispositivo, é provável que todos os controladores de domínio do Windows em seu domínio não estejam atualizados com uma atualização do Windows de 8 de novembro de 2022 ou posterior. Para atenuar os problemas, você precisará investigar ainda mais seu domínio para encontrar controladores de domínio do Windows que não estão atualizados.

Observação Se você encontrar um erro com a ID do Evento 42, consulte KB5021131: Como gerenciar as alterações do protocolo Kerberos relacionadas ao CVE-2022-37966.

Falha na assinatura completa do PAC
Log de eventos Sistema
Tipo de Evento Aviso
Origem do evento Microsoft-Windows-Kerberos-Key-Distribution-Center
ID do Evento 43
Texto do Evento O KDC (Centro de Distribuição de Chaves) encontrou um tíquete que não pôde validar o
Assinatura PAC completa. Consulte https://go.microsoft.com/fwlink/?linkid=2210019 para saber mais. Cliente : <realm>/<Nome>
Assinatura PAC completa ausente
Log de eventos Sistema
Tipo de evento Aviso
Origem do evento Microsoft-Windows-Kerberos-Key-Distribution-Center
ID do Evento 44
Texto do evento O KDC (centro de distribuição de chaves) encontrou um tíquete que não continha a assinatura PAC completa. Consulte https://go.microsoft.com/fwlink/?linkid=2210019 para saber mais. Cliente : <realm>/<Nome>

Dispositivos de terceiros que implementam o protocolo Kerberos

Domínios que têm controladores de domínio de terceiros podem ver erros no modo de imposição.

Domínios com clientes de terceiros podem levar mais tempo para serem totalmente desmarcados de eventos de auditoria após a instalação de uma atualização do Windows de 8 de novembro de 2022 ou posterior.

Entre em contato com o fabricante de dispositivos (OEM) ou o fornecedor de software para determinar se seu software é compatível com a alteração de protocolo mais recente.

Para obter informações sobre atualizações de protocolo, consulte o tópico Protocolo do Windows no site da Microsoft.

Glossário

Kerberos

O Kerberos é um protocolo de autenticação de rede de computadores que funciona com base em “tíquetes” para permitir que os nós que se comunicam em uma rede provem sua identidade uns aos outros de maneira segura.

KDC (Centro de Distribuição de Chaves)

O serviço Kerberos que implementa os serviços de autenticação e concessão de tíquete especificados no protocolo Kerberos. O serviço é executado em computadores selecionados pelo administrador do realm ou domínio; ele não está presente em todos os computadores na rede. Ele deve ter acesso a um banco de dados de conta para o realm que ele serve.  Os KDCs são integrados à função de controlador de domínio . É um serviço de rede que fornece tíquetes aos clientes para uso na autenticação de serviços.

PAC (certificado de atributos de privilégio)

O PAC (certificado de atributos de privilégio) é uma estrutura que transmite informações relacionadas à autorização fornecidas por DCs (controladores de domínio). Para obter mais informações, consulte Estrutura de dados do certificado de atributos de privilégio.

Tíquete de concessão de Tíquete

Um tipo especial de tíquete que pode ser usado para obter outros tíquetes. O TGT (tíquete de concessão de tíquetes) é obtido após a autenticação inicial na troca do AS (Serviço de Autenticação). Depois disso, os usuários não precisam apresentar suas credenciais, mas podem usar o TGT para obter tíquetes subsequentes.