Atualizado
10 de abril de 2023: Atualização da "Terceira fase de implementação" de 11 de abril de 2023 a 13 de junho de 2023 na secção "Timing of updates to address CVE-2022-37967".
Neste artigo
Resumo
As atualizações do Windows de 8 de novembro de 2022 abordam a descontinuação da segurança e a elevação de vulnerabilidades de privilégios com assinaturas de Certificado de Atributo de Privilégio (PAC). Esta atualização de segurança aborda as vulnerabilidades do Kerberos em que um atacante pode alterar digitalmente as assinaturas PAC, aumentando os seus privilégios.
Para ajudar a proteger o seu ambiente, instale esta atualização do Windows em todos os dispositivos, incluindo controladores de domínio do Windows. Todos os controladores de domínio no seu domínio têm de ser atualizados primeiro antes de mudar a atualização para o modo Imposto.
Para saber mais sobre estas vulnerabilidades, consulte CVE-2022-37967.
Tomar Medidas
Para ajudar a proteger o seu ambiente e evitar interrupções, recomendamos que siga os seguintes passos:
-
ATUALIZE os controladores de domínio do Windows com uma atualização do Windows lançada a 8 de novembro de 2022 ou depois.
-
Mova os controladores de domínio do Windows para o Modo de auditoria através da secção de definição Chave de Registo .
-
Eventos DE MONITORIZAÇÃO arquivados durante o Modo de auditoria para proteger o seu ambiente.
-
ATIVARModo de imposição para abordar o CVE-2022-37967 no seu ambiente.
Nota O passo 1 da instalação das atualizações lançadas em ou depois de 8 de novembro de 2022 NÃO resolverá os problemas de segurança no CVE-2022-37967 para dispositivos Windows por predefinição. Para mitigar totalmente o problema de segurança para todos os dispositivos, tem de passar para o Modo de auditoria (descrito no Passo 2) seguido do modo Imposto (descrito no Passo 4) o mais rapidamente possível em todos os controladores de domínio do Windows.
Importante A partir de julho de 2023, o Modo de imposição será ativado em todos os controladores de domínio do Windows e bloqueará as ligações vulneráveis de dispositivos não conformes. Nessa altura, não poderá desativar a atualização, mas poderá voltar à definição Modo de auditoria. O modo de auditoria será removido em outubro de 2023, conforme descrito na secção Timing of updates to address Kerberos vulnerability CVE-2022-37967 (Temporização das atualizações para resolver a vulnerabilidade de Kerberos CVE-2022-37967 ).
Temporização das atualizações para o endereço CVE-2022-37967
Atualizações será lançada por fases: a fase inicial das atualizações lançadas a 8 de novembro de 2022 e a fase de Imposição para atualizações lançadas em ou depois de 13 de junho de 2023.
A fase de implementação inicial começa com as atualizações lançadas a 8 de novembro de 2022 e continua com as atualizações posteriores do Windows até à fase de Imposição. Esta atualização adiciona assinaturas à memória intermédia do PAC kerberos, mas não verifica a existência de assinaturas durante a autenticação. Assim, o modo seguro está desativado por predefinição.
Esta atualização:
-
Adiciona assinaturas PAC à memória intermédia do PAC kerberos.
-
Adiciona medidas para resolver a vulnerabilidade de ignorar a segurança no protocolo Kerberos.
A segunda fase de implementação começa com as atualizações lançadas a 13 de dezembro de 2022. Estas e posteriores atualizações efetuam alterações ao protocolo Kerberos para auditar dispositivos Windows ao mover controladores de domínio do Windows para o modo auditoria.
Com esta atualização, todos os dispositivos estarão no Modo de auditoria por predefinição:
-
Se a assinatura estiver em falta ou for inválida, a autenticação é permitida. Além disso, será criado um registo de auditoria.
-
Se a assinatura estiver em falta, crie um evento e permita a autenticação.
-
Se a assinatura estiver presente, valide-a. Se a assinatura estiver incorreta, crie um evento e permita a autenticação.
As atualizações do Windows disponibilizadas em ou depois de 13 de junho de 2023 farão o seguinte:
-
Remova a capacidade de desativar a adição da assinatura PAC ao definir a subchave KrbtgtFullPacSignature como um valor de 0.
As atualizações do Windows disponibilizadas em ou depois de 11 de julho de 2023 farão o seguinte:
-
Remove a capacidade de definir o valor 1 para a subchave KrbtgtFullPacSignature.
-
Move a atualização para o Modo de imposição (Predefinição) (KrbtgtFullPacSignature = 3), que pode ser substituída por um Administrador com uma definição de Auditoria explícita.
As atualizações do Windows disponibilizadas em ou depois de 10 de outubro de 2023 farão o seguinte:
-
Remove o suporte para a subchave de registo KrbtgtFullPacSignature.
-
Remove o suporte para o Modo de auditoria.
-
Todas as permissões de serviço sem as novas assinaturas PAC serão negadas à autenticação.
Diretrizes de implementação
Para implementar as atualizações do Windows datadas de 8 de novembro de 2022 ou posteriores atualizações do Windows, siga estes passos:
-
ATUALize os controladores de domínio do Windows com uma atualização lançada a 8 de novembro de 2022 ou depois.
-
Mova os controladores de domínio para o Modo de auditoria com a secção de definição Chave de Registo.
-
Monitorizar eventos arquivados durante o Modo de auditoria para ajudar a proteger o seu ambiente.
-
ATIVAR Modo de imposição para abordar o CVE-2022-37967 no seu ambiente.
PASSO 1: ATUALIZAR
Implemente as atualizações de 8 de novembro de 2022 ou posteriores em todos os controladores de domínio (DCs) do Windows aplicáveis. Depois de implementar a atualização, os controladores de domínio do Windows que foram atualizados terão assinaturas adicionadas à Memória Intermédia de PAC kerberos e ficarão inseguros por predefinição (a assinatura PAC não é validada).
-
Durante a atualização, certifique-se de que mantém o valor do registo KrbtgtFullPacSignature no estado predefinido até que todos os controladores de domínio do Windows sejam atualizados.
PASSO 2: MOVER
Assim que os controladores de domínio do Windows forem atualizados, mude para o modo auditoria ao alterar o valor KrbtgtFullPacSignature para 2.
PASSO 3: LOCALIZAR/MONITORIZAR
Identifique as áreas que têm assinaturas PAC em falta ou que têm Assinaturas PAC que falham na validação através dos Registos de Eventos acionados durante o modo de Auditoria.
-
Certifique-se de que o nível funcional do domínio está definido como, pelo menos, 2008 ou superior antes de passar para o Modo de imposição. Mover para o Modo de imposição com domínios no nível funcional do domínio 2003 pode resultar em falhas de autenticação.
-
Os eventos de auditoria serão apresentados se o seu domínio não estiver totalmente atualizado ou se ainda existirem permissões de serviço pendentes emitidas anteriormente no seu domínio.
-
Continue a monitorizar a existência de registos de eventos adicionais arquivados que indiquem assinaturas PAC em falta ou falhas de validação de assinaturas PAC existentes.
-
Depois de todo o domínio ser atualizado e todos os pedidos pendentes expirarem, os eventos de auditoria deixarão de ser apresentados. Em seguida, deverá conseguir mover-se para o Modo de imposição sem falhas.
PASSO 4: ATIVAR
Ative o Modo de imposição para abordar o CVE-2022-37967 no seu ambiente.
-
Depois de todos os eventos de auditoria terem sido resolvidos e já não aparecerem, mova os seus domínios para o Modo de imposição ao atualizar o valor do registo KrbtgtFullPacSignature , conforme descrito na secção Definições da Chave do Registo.
-
Se uma permissão de serviço tiver uma assinatura PAC inválida ou tiver assinaturas PAC em falta, a validação falhará e será registado um evento de erro.
Definições da Chave do Registo
Protocolo Kerberos
Depois de instalar as atualizações do Windows datadas de ou depois de 8 de novembro de 2022, a seguinte chave de registo está disponível para o protocolo Kerberos:
-
KrbtgtFullPacSignature
Esta chave de registo é utilizada para controlar a implementação das alterações de Kerberos. Esta chave de registo é temporária e deixará de ser lida após a data de Imposição completa de 10 de outubro de 2023.Chave do registo
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Valor
KrbtgtFullPacSignature
Tipo de dados
REG_DWORD
Dados
0 – Desativado
1 – são adicionadas novas assinaturas, mas não verificadas. (Predefinição)
2 - Modo de auditoria. São adicionadas novas assinaturas e verificadas se estão presentes. Se a assinatura estiver em falta ou for inválida, a autenticação é permitida e os registos de auditoria são criados.
3 - Modo de imposição. São adicionadas novas assinaturas e verificadas se estão presentes. Se a assinatura estiver em falta ou for inválida, a autenticação é negada e os registos de auditoria são criados.
É necessário reiniciar?
Não
Nota Se precisar de alterar o valor do registo KrbtgtFullPacSignature, adicione manualmente e, em seguida, configure a chave de registo para substituir o valor predefinido.
Eventos do Windows relacionados com CVE-2022-37967
No Modo de auditoria, poderá encontrar um dos seguintes erros se as Assinaturas PAC estiverem em falta ou forem inválidas. Se este problema continuar durante o Modo de imposição, estes eventos serão registados como erros.
Se encontrar um erro no seu dispositivo, é provável que todos os controladores de domínio do Windows no seu domínio não estejam atualizados com uma atualização do Windows de 8 de novembro de 2022 ou posterior. Para mitigar os problemas, terá de investigar ainda mais o seu domínio para encontrar controladores de domínio do Windows que não estão atualizados.
Nota Se encontrar um erro com o ID do Evento 42, consulte KB5021131: Como gerir as alterações ao protocolo Kerberos relacionadas com o CVE-2022-37966.
Registo de Eventos |
Sistema |
Tipo de Evento |
Aviso |
Origem do Evento |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID de Evento |
43 |
Texto do Evento |
O Centro de Distribuição de Chaves (KDC) encontrou um pedido de suporte que não conseguiu validar o Assinatura PAC completa. Consulte https://go.microsoft.com/fwlink/?linkid=2210019 para saber mais. Cliente: <realm>/<Name> |
Registo de eventos |
Sistema |
Tipo de evento |
Aviso |
Origem do Evento |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID de Evento |
44 |
Texto do evento |
O Centro de Distribuição de Chaves (KDC) encontrou um pedido de suporte que não continha a Assinatura PAC completa. Consulte https://go.microsoft.com/fwlink/?linkid=2210019 para saber mais. Cliente: <realm>/<Name> |
Dispositivos de terceiros que implementam o protocolo Kerberos
Os domínios que têm controladores de domínio de terceiros podem ver erros no Modo de imposição.
Os domínios com clientes de terceiros podem demorar mais tempo a ser totalmente limpos dos eventos de auditoria após a instalação de uma atualização do Windows de 8 de novembro de 2022 ou posterior.
Contacte o fabricante do dispositivo (OEM) ou o fornecedor de software para determinar se o software é compatível com a alteração de protocolo mais recente.
Para obter informações sobre atualizações de protocolo, consulte o tópico Protocolo do Windows no site da Microsoft.
Glossário
O Kerberos é um protocolo de autenticação de rede de computador que funciona com base em "permissões" para permitir que os nós que comunicam através de uma rede provem a sua identidade uns aos outros de forma segura.
O serviço Kerberos que implementa os serviços de autenticação e concessão de pedidos especificados no protocolo Kerberos. O serviço é executado em computadores selecionados pelo administrador do domínio ou domínio; não está presente em todos os computadores na rede. Tem de ter acesso a uma base de dados de conta para o domínio que serve. Os KDCs estão integrados na função de controlador de domínio. É um serviço de rede que fornece permissões aos clientes para utilização na autenticação em serviços.
O Certificado de Atributo de Privilégio (PAC) é uma estrutura que transmite informações relacionadas com autorização fornecidas por controladores de domínio (DCs). Para obter mais informações, veja Privilege Attribute Certificate Data Structure (Estrutura de Dados de Certificados de Atributos de Privilégios).
Um tipo especial de permissão que pode ser utilizado para obter outros bilhetes. A Permissão de Concessão de Permissão (TGT) é obtida após a autenticação inicial na troca do Serviço de Autenticação (AS). Posteriormente, os utilizadores não precisam de apresentar as respetivas credenciais, mas podem utilizar o TGT para obter pedidos de suporte subsequentes.