Resumo
As atualizações de segurança do Windows lançadas em ou após 9 de abril de 2024 abordam a elevação de vulnerabilidades de privilégios com o Protocolo de Validação pac kerberos. O PAC (Certificado de Atributo privilege) é uma extensão dos tíquetes de serviço Kerberos. Ele contém informações sobre a autenticação do usuário e seus privilégios. Essa atualização corrige uma vulnerabilidade em que o usuário do processo pode falsificar a assinatura para ignorar as verificações de segurança de validação de assinatura pac adicionadas em KB5020805: como gerenciar alterações de protocolo Kerberos relacionadas ao CVE-2022-37967.
Para saber mais sobre essas vulnerabilidades, visite CVE-2024-26248 e CVE-2024-29056.
Tome medidas
IMPORTANTE A etapa 1 para instalar a atualização lançada em ou após 9 de abril de 2024 NÃO resolverá totalmente os problemas de segurança em CVE-2024-26248 e CVE-2024-29056 por padrão. Para atenuar totalmente o problema de segurança para todos os dispositivos, você deve migrar para o modo Imposto (descrito na Etapa 3) depois que o ambiente estiver totalmente atualizado.
Para ajudar a proteger seu ambiente e evitar interrupções, recomendamos as seguintes etapas:
-
ATUALIZAÇÃO: Controladores de domínio do Windows e clientes Windows devem ser atualizados com uma atualização de segurança do Windows lançada em ou após 9 de abril de 2024.
-
MONITOR: Os eventos de auditoria ficarão visíveis no modo de compatibilidade para identificar dispositivos não atualizados.
-
PERMITIR: Depois que o modo enforcement estiver totalmente habilitado em seu ambiente, as vulnerabilidades descritas em CVE-2024-26248 e CVE-2024-29056 serão atenuadas.
Histórico
Quando uma estação de trabalho do Windows executa a Validação pac em um fluxo de autenticação Kerberos de entrada, ela executa uma nova solicitação (Logon do Tíquete de Rede) para validar o tíquete de serviço. A solicitação é inicialmente encaminhada para um DC (controlador de domínio) do domínio Workstations por meio do Netlogon.
Se a conta de serviço e a conta de computador pertencerem a domínios diferentes, a solicitação será realizada entre os trusts necessários por meio do Netlogon até chegar ao domínio de serviços; caso contrário, o DC no domínio contas de computadores executa a validação. O DC então chama o KDC (Key Distribution Center) para validar as assinaturas PAC do tíquete de serviço e envia informações de usuário e dispositivo de volta para a estação de trabalho.
Se a solicitação e a resposta forem encaminhadas em uma confiança (no caso em que a conta de serviço e a conta de estação de trabalho pertencem a domínios diferentes), cada DC em toda a confiança filtra os dados de autorização pertencentes a ele.
Linha do tempo das alterações
Atualizações são liberados da seguinte maneira. Observe que essa agenda de lançamento pode ser revisada conforme necessário.
A fase inicial de implantação começa com as atualizações lançadas em 9 de abril de 2024. Esta atualização adiciona um novo comportamento que impede a elevação das vulnerabilidades de privilégio descritas em CVE-2024-26248 e CVE-2024-29056 , mas não a impõe a menos que os controladores de domínio do Windows e os clientes Windows no ambiente sejam atualizados.
Para habilitar o novo comportamento e mitigar as vulnerabilidades, você deve garantir que todo o ambiente do Windows (incluindo controladores de domínio e clientes) seja atualizado. Eventos de auditoria serão registrados para ajudar a identificar dispositivos não atualizados.
Atualizações lançado em ou após 15 de outubro de 2024, moverá todos os controladores de domínio e clientes do Windows no ambiente para o modo Imposto alterando as configurações de subchave do registro para PacSignatureValidationLevel=3 e CrossDomainFilteringLevel=4, impondo o comportamento seguro por padrão.
As configurações impostas por padrão podem ser substituídas por um administrador para reverter ao modo de compatibilidade.
As atualizações de segurança do Windows lançadas em ou após 8 de abril de 2025 removerão o suporte para as subchaves de registro PacSignatureValidationLevel e CrossDomainFilteringLevel e imporá o novo comportamento seguro. Não haverá suporte para o modo de compatibilidade após a instalação desta atualização.
Possíveis problemas e mitigações
Há possíveis problemas que podem surgir, incluindo a validação do PAC e falhas de filtragem entre florestas. A atualização de segurança de 9 de abril de 2024 inclui a lógica de fallback e as configurações do registro para ajudar a mitigar esses problemas
Configurações do Registro
Essa atualização de segurança é oferecida a dispositivos Windows (incluindo controladores de domínio). As chaves de registro a seguir que controlam o comportamento só precisam ser implantadas no servidor Kerberos que aceita a autenticação Kerberos de entrada e a execução da Validação pac.
|
Subchave do Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Valor |
PacSignatureValidationLevel |
|
|
Tipo de dados |
REG_DWORD |
|
|
Dados |
2 |
Padrão (Compatibilidade com ambiente não corrigido) |
|
3 |
Impor |
|
|
Reiniciar obrigatório? |
Não |
|
|
Subchave do Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Valor |
CrossDomainFilteringLevel |
|
|
Tipo de dados |
REG_DWORD |
|
|
Dados |
2 |
Padrão (Compatibilidade com ambiente não corrigido) |
|
4 |
Impor |
|
|
Reiniciar obrigatório? |
Não |
|
Essa chave de registro pode ser implantada para os servidores Windows que aceitam a autenticação Kerberos de entrada, bem como qualquer Controlador de Domínio do Windows que esteja validando o novo fluxo de Logon do Tíquete de Rede ao longo do caminho.
|
Subchave do Registro |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Valor |
AuditKerberosTicketLogonEvents |
|
|
Tipo de dados |
REG_DWORD |
|
|
Dados |
1 |
Padrão – log Eventos críticos |
|
2 |
Log All Netlogon Events |
|
|
0 |
Não log Eventos netlogon |
|
|
Reiniciar obrigatório? |
Não |
|
Logs de evento
Os seguintes eventos de auditoria Kerberos serão gerados no Servidor Kerberos que aceita a autenticação Kerberos de entrada. Este servidor Kerberos fará a Validação pac, que usa o novo Fluxo de Logon do Tíquete de Rede.
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Informacional |
|
Origem do evento |
Security-Kerberos |
|
ID de Evento |
21 |
|
Texto do Evento |
Durante o Logon do Tíquete de Rede Kerberos, o tíquete de serviço da Conta <> do Domínio <Domínio> fez as seguintes ações por dc <> do Controlador de Domínio. Para obter mais informações, visite https://go.microsoft.com/fwlink/?linkid=2262558. |
Esse evento é mostrado quando um Controlador de Domínio tomou uma ação não fatal durante um fluxo de Logon do Tíquete de Rede. A partir de agora, as seguintes ações são registradas:
-
SiDs de usuário foram filtrados.
-
OS SIDs do dispositivo foram filtrados.
-
A identidade composta foi removida devido à filtragem de SID que não permitiu a identidade do dispositivo.
-
A identidade composta foi removida devido à filtragem sid que não permite o nome de domínio do dispositivo.
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Erro |
|
Origem do evento |
Security-Kerberos |
|
ID de Evento |
22 |
|
Texto do Evento |
Durante o Logon do Tíquete de Rede Kerberos, o tíquete de serviço da Conta <> do Domínio <domínio> foi negado pelo DC <DC> devido aos motivos abaixo. Para obter mais informações, visite https://go.microsoft.com/fwlink/?linkid=2262558. |
Esse evento é mostrado quando um Controlador de Domínio nega a solicitação do Logon do Tíquete de Rede pelos motivos mostrados no evento.
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Aviso ou erro |
|
Origem do evento |
Security-Kerberos |
|
ID de Evento |
23 |
|
Texto do Evento |
Durante o Logon do Tíquete de Rede Kerberos, o tíquete de serviço para <account_name> de Conta do Domínio <domain_name> não pôde ser encaminhado a um Controlador de Domínio para atender à solicitação. Para obter mais informações, visite https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Esse evento será mostrado como um aviso se PacSignatureValidationLevel AND CrossDomainFilteringLevel não estiver definido como Impor ou mais rigoroso. Quando registrado como um aviso, o evento indica que os fluxos de Logon do Tíquete de Rede entraram em contato com um controlador de domínio ou dispositivo equivalente que não entendia o novo mecanismo. A autenticação foi autorizada a voltar ao comportamento anterior.
-
Este evento será mostrado como um erro se PacSignatureValidationLevel OR CrossDomainFilteringLevel estiver definido como Impor ou mais rigoroso. Esse evento como "erro" indica que o fluxo de Logon do Tíquete de Rede entrou em contato com um controlador de domínio ou dispositivo equivalente que não entendia o novo mecanismo. A autenticação foi negada e não pôde retornar ao comportamento anterior.
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Erro |
|
Origem do evento |
Netlogon |
|
ID de Evento |
5842 |
|
Texto do Evento |
O serviço Netlogon encontrou um erro inesperado ao processar uma solicitação de Logon de Tíquete de Rede Kerberos. Para obter mais informações, visite https://go.microsoft.com/fwlink/?linkid=2261497. Conta do Tíquete de Serviço:> da conta < Domínio do Tíquete de Serviço: domínio <> Nome da estação de trabalho: <nome do computador> Status: <código de erro> |
Esse evento é gerado sempre que o Netlogon encontra um erro inesperado durante uma solicitação de logon do Tíquete de Rede. Esse evento é registrado quando AuditKerberosTicketLogonEvents é definido como (1) ou superior.
|
Log de Eventos |
Sistema |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Netlogon |
|
ID de Evento |
5843 |
|
Texto do Evento |
O serviço Netlogon não encaminhou uma solicitação de Logon de Tíquete de Rede Kerberos para o Controlador de Domínio <DC>. Para obter mais informações, visite https://go.microsoft.com/fwlink/?linkid=2261497. Conta do Tíquete de Serviço:> da conta < Domínio do Tíquete de Serviço: domínio <> Nome da estação de trabalho: <nome do computador> |
Esse evento é gerado sempre que o Netlogon não pôde concluir o Logon do Tíquete de Rede porque um Controlador de Domínio não entendia as alterações. Devido às limitações no protocolo Netlogon, o cliente Netlogon não consegue determinar se o Controlador de Domínio com o qual o cliente Netlogon está conversando diretamente é aquele que não entende as alterações ou se é um Controlador de Domínio ao longo da cadeia de encaminhamento que não entende as alterações.
-
Se o Domínio do Tíquete de Serviço for o mesmo que o domínio da conta do computador, é provável que o Controlador de Domínio no log de eventos não entenda o fluxo de logon do Tíquete de Rede.
-
Se o Domínio do Tíquete de Serviço for diferente do domínio da conta do computador, um dos controladores de domínio ao longo do caminho do Domínio da Conta de Máquina para o Domínio da Conta de Serviço não entendeu o fluxo de Logon do Tíquete de Rede
Esse evento está off-by-default. A Microsoft recomenda que os usuários atualizem pela primeira vez toda a frota antes de ativar o evento.
Esse evento é registrado quando AuditKerberosTicketLogonEvents é definido como (2).
Perguntas frequentes
Um Controlador de Domínio que não é atualizado não reconhecerá essa nova estrutura de solicitação. Isso fará com que o marcar de segurança falhe. No modo de compatibilidade, a estrutura de solicitação antiga será usada. Esse cenário ainda é vulnerável à CVE-2024-26248 e à CVE-2024-29056.
Sim. Isso ocorre porque o novo fluxo de Logon do Tíquete de Rede pode ter que ser roteado entre domínios para alcançar o domínio da conta de serviço.
A Validação pac pode ser ignorada em determinadas circunstâncias, incluindo, mas não se limitando a, os seguintes cenários:
-
Se o serviço tiver privilégio TCB. Geralmente, os serviços em execução no contexto da conta SYSTEM (como Compartilhamentos de Arquivos SMB ou servidores LDAP) têm esse privilégio.
-
Se o serviço for executado no Agendador de Tarefas.
Caso contrário, a Validação pac é executada em todos os Fluxos de Autenticação Kerberos de entrada.
Esses CVEs envolvem uma Elevação Local de Privilégio em que uma conta de serviço mal-intencionada ou comprometida em execução na Estação de Trabalho do Windows tenta elevar seu privilégio para obter direitos de administração local. Isso significa que apenas a Estação de Trabalho do Windows que aceita a Autenticação Kerberos de entrada é afetada.
