Сводка
Обновления системы безопасности Windows, выпущенные 9 апреля 2024 г. или позже, устраняют уязвимости повышения привилегий с помощью протокола проверки PAC Kerberos. Сертификат атрибута привилегий (PAC) — это расширение для билетов службы Kerberos. Он содержит сведения о пользователе, проверяющего подлинность, и его привилегиях. Это обновление устраняет уязвимость, при которой пользователь процесса может подделать подпись для обхода проверок безопасности проверки подписи PAC, добавленных в KB5020805: Управление изменениями протокола Kerberos, связанными с CVE-2022-37967.
Чтобы узнать больше об этих уязвимостях, посетите страницы CVE-2024-26248 и CVE-2024-29056.
Действие
ВАЖНОШаг 1 по установке обновления, выпущенного 9 апреля 2024 г. или позже, по умолчанию не полностью устраняет проблемы безопасности в CVE-2024-26248 и CVE-2024-29056 . Чтобы полностью устранить проблему безопасности для всех устройств, после полного обновления среды необходимо перейти в принудительный режим (описано на шаге 3).
Чтобы защитить среду и предотвратить сбои, мы рекомендуем выполнить следующие действия.
-
ОБНОВЛЕНИЕ: Контроллеры домена Windows и клиенты Windows должны быть обновлены с помощью обновления для системы безопасности Windows, выпущенного 9 апреля 2024 г. или позже.
-
МОНИТОР: События аудита будут отображаться в режиме совместимости для идентификации устройств, не обновленных.
-
ВКЛЮЧИТЬ: После полного включения режима принудительного применения в вашей среде уязвимости, описанные в разделах CVE-2024-26248 и CVE-2024-29056 , будут устранены.
Фон
Когда рабочая станция Windows выполняет проверку PAC для входящего потока проверки подлинности Kerberos, она выполняет новый запрос (вход в сетевой билет) для проверки билета службы. Запрос сначала перенаправлен в контроллер домена (DC) домена рабочих станций через Netlogon.
Если учетная запись службы и учетная запись компьютера относятся к разным доменам, запрос переносится через необходимые отношения доверия через Netlogon, пока не достигнет домена служб. В противном случае контроллер домена в домене учетных записей компьютеров выполняет проверку. Затем контроллер домена вызывает центр распространения ключей (KDC) для проверки подписей PAC билета службы и отправляет сведения о пользователе и устройстве обратно на рабочую станцию.
Если запрос и ответ перенаправляются по доверию (в случае, если учетная запись службы и учетная запись рабочей станции принадлежат разным доменам), каждый контроллер домена в доверии фильтрует данные авторизации, которые к нему относятся.
Временная шкала изменений
Обновления выпускаются следующим образом. Обратите внимание, что это расписание выпуска может быть изменено при необходимости.
Начальный этап развертывания начинается с обновлений, выпущенных 9 апреля 2024 г. Это обновление добавляет новое поведение, которое предотвращает повышение привилегий уязвимостей, описанных в CVE-2024-26248 и CVE-2024-29056 , но не применяет его, если контроллеры домена Windows и клиенты Windows в среде не обновляются.
Чтобы включить новое поведение и устранить уязвимости, необходимо убедиться, что вся среда Windows (включая контроллеры домена и клиенты) обновлена. События аудита будут регистрироваться для идентификации устройств, не обновленных.
Обновления, выпущенные 15 октября 2024 г. или позже, переместят все контроллеры домена и клиенты Windows в среде в режим Принудительно, изменив параметры подраздела реестра на PacSignatureValidationLevel=3 и CrossDomainFilteringLevel=4, что по умолчанию обеспечивает безопасное поведение.
Администратор может переопределить параметры Принудительно по умолчанию, чтобы отменить изменения в режим совместимости.
Обновления для системы безопасности Windows, выпущенные 8 апреля 2025 г. или позже, удалят поддержку подразделов реестра PacSignatureValidationLevel и CrossDomainFilteringLevel и приведут к применению нового поведения безопасности. После установки этого обновления режим совместимости не поддерживается.
Потенциальные проблемы и способы их устранения
Могут возникнуть потенциальные проблемы, в том числе сбои проверки PAC и фильтрации между лесами. Обновление системы безопасности от 9 апреля 2024 г. включает в себя резервные логики и параметры реестра для устранения этих проблем.
Параметры реестра
Это обновление для системы безопасности предлагается для устройств Windows (включая контроллеры домена). Следующие разделы реестра, управляющие поведением, необходимо развернуть только на сервере Kerberos, который принимает входящую проверку подлинности Kerberos и выполняет проверку PAC.
|
Подраздел реестра |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Значение |
PacSignatureValidationLevel |
|
|
Тип данных |
REG_DWORD |
|
|
Данные |
2 |
По умолчанию (совместимость с непатшированной средой) |
|
3 |
Применять |
|
|
Требуется перезапуск? |
Нет |
|
|
Подраздел реестра |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Значение |
CrossDomainFilteringLevel |
|
|
Тип данных |
REG_DWORD |
|
|
Данные |
2 |
По умолчанию (совместимость с непатшированной средой) |
|
4 |
Применять |
|
|
Требуется перезапуск? |
Нет |
|
Этот раздел реестра можно развернуть как на серверах Windows, которые принимают входящую проверку подлинности Kerberos, так и на любом контроллере домена Windows, проверяющего новый поток входа в сетевой билет.
|
Подраздел реестра |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Значение |
AuditKerberosTicketLogonEvents |
|
|
Тип данных |
REG_DWORD |
|
|
Данные |
1 |
По умолчанию — журнал критических событий |
|
2 |
Ведение журнала всех событий netlogon |
|
|
0 |
Не регистрируемые события netlogon |
|
|
Требуется перезапуск? |
Нет |
|
Журналы событий
Следующие события аудита Kerberos будут созданы на сервере Kerberos, который принимает входящую проверку подлинности Kerberos. Этот сервер Kerberos будет выполнять проверку PAC, которая использует новый поток входа в сетевой билет.
|
Журнал событий |
Система |
|
Тип события |
Информационных |
|
Источник события |
Security-Kerberos |
|
Идентификатор события |
21 |
|
Текст события |
Во время входа в сетевой билет Kerberos запрос службы для учетной записи <учетной записи> из> домена <домена выполнял следующие действия с контроллером домена <контроллером домена>. Дополнительные сведения см. на https://go.microsoft.com/fwlink/?linkid=2262558. |
Это событие отображается, когда контроллер домена выполнил неустранимое действие во время потока входа в сетевой билет. На данный момент регистрируются следующие действия:
-
Идентификаторы безопасности пользователей были отфильтрованы.
-
Идентификаторы БЕЗОПАСНОСТИ устройств были отфильтрованы.
-
Составное удостоверение было удалено из-за того, что фильтрация идентификаторов безопасности не разрешает удостоверение устройства.
-
Составное удостоверение было удалено из-за того, что фильтрация идентификаторов безопасности не разрешала доменное имя устройства.
|
Журнал событий |
Система |
|
Тип события |
Ошибка |
|
Источник события |
Security-Kerberos |
|
Идентификатор события |
22 |
|
Текст события |
Во время входа в сетевой билет Kerberos запрос службы для учетной записи <учетной записи> из> домена <домена был отклонен контроллером домена <контроллером домена> по приведенным ниже причинам. Дополнительные сведения см. на https://go.microsoft.com/fwlink/?linkid=2262558. |
Это событие отображается, когда контроллер домена отклонил запрос на вход в сетевой билет по причинам, указанным в событии.
|
Журнал событий |
Система |
|
Тип события |
Предупреждение или ошибка |
|
Источник события |
Security-Kerberos |
|
Идентификатор события |
23 |
|
Текст события |
Во время входа в сетевой билет Kerberos билет службы для учетной записи <account_name> из <domain_name> домена не удалось переслать контроллеру домена для обслуживания запроса. Дополнительные сведения см. на https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Это событие отображается как предупреждение, если для PacSignatureValidationLevel и crossDomainFilteringLevel не задано значение Принудительно или строгее. При регистрации в качестве предупреждения это событие указывает на то, что потоки входа в сетевой билет связались с контроллером домена или эквивалентным устройством, которые не понимали новый механизм. Проверка подлинности была разрешена к предыдущему поведению.
-
Это событие отображается как ошибка, если pacSignatureValidationLevel OR CrossDomainFilteringLevel имеет значение Принудительно или строгее. Это событие как "ошибка" означает, что поток входа в сетевой билет связался с контроллером домена или эквивалентным устройством, которые не понимали новый механизм. Проверка подлинности была отклонена, и не удалось вернуться к предыдущему поведению.
|
Журнал событий |
Система |
|
Тип события |
Ошибка |
|
Источник события |
Netlogon |
|
Идентификатор события |
5842 |
|
Текст события |
Служба Netlogon обнаружила неожиданную ошибку при обработке запроса на вход в сетевой билет Kerberos. Дополнительные сведения см. на https://go.microsoft.com/fwlink/?linkid=2261497. Учетная запись билета службы:> учетной записи < Домен билета службы: <домен> Имя рабочей станции: <имя компьютера> Состояние: <код ошибки> |
Это событие создается всякий раз, когда netlogon обнаружил непредвиденное сообщение об ошибке во время запроса на вход в сетевой билет. Это событие регистрируется, если параметр AuditKerberosTicketLogonEvents имеет значение (1) или выше.
|
Журнал событий |
Система |
|
Тип события |
Предупреждение |
|
Источник события |
Netlogon |
|
Идентификатор события |
5843 |
|
Текст события |
Службе Netlogon не удалось перенаправить запрос на вход в сетевой билет Kerberos контроллеру домена <контроллера домена>. Дополнительные сведения см. на https://go.microsoft.com/fwlink/?linkid=2261497. Учетная запись билета службы:> учетной записи < Домен билета службы: <домен> Имя рабочей станции: <имя компьютера> |
Это событие создается всякий раз, когда netlogon не может завершить вход в сетевой билет, так как контроллер домена не понимает изменения. Из-за ограничений в протоколе Netlogon клиент Netlogon не может определить, является ли контроллер домена, с которым напрямую разговаривает клиент Netlogon, не понимает изменения, или это контроллер домена в цепочке пересылки, который не понимает изменения.
-
Если домен билета службы совпадает с доменом учетной записи компьютера, скорее всего, контроллер домена в журнале событий не понимает поток входа в сетевой билет.
-
Если домен билета службы отличается от домена учетной записи компьютера, один из контроллеров домена на пути от домена учетной записи компьютера к домену учетной записи службы не понял поток входа в сетевой билет.
Это событие по умолчанию отключено. Корпорация Майкрософт рекомендует пользователям сначала обновить весь парк, прежде чем включать событие.
Это событие регистрируется, если auditKerberosTicketLogonEvents имеет значение (2).
Часто задаваемые вопросы
Контроллер домена, который не обновлен, не распознает эту новую структуру запроса. Это приведет к сбою проверка безопасности. В режиме совместимости будет использоваться старая структура запроса. Этот сценарий по-прежнему уязвим для CVE-2024-26248 и CVE-2024-29056.
Да. Это связано с тем, что новый поток входа в сетевой билет может быть перенаправлен между доменами, чтобы достичь домена учетной записи службы.
Проверка PAC может быть пропущена при определенных обстоятельствах, включая, помимо прочего, следующие сценарии:
-
Если служба имеет привилегию TCB. Как правило, службы, работающие в контексте учетной записи SYSTEM (например, общие папки SMB или серверы LDAP), имеют эту привилегию.
-
Если служба запущена из планировщика задач.
В противном случае проверка PAC выполняется для всех входящих потоков проверки подлинности Kerberos.
Эти cve включают локальное повышение привилегий, когда вредоносная или скомпрометированная учетная запись службы, запущенная на рабочей станции Windows, пытается повысить их привилегии, чтобы получить права локального администрирования. Это означает, что затронута только рабочая станция Windows, принимающая входящую проверку подлинности Kerberos.
