Zhrnutie
Aktualizácie zabezpečenia systému Windows vydané 9. apríla 2024 alebo po ich skončení riešia zvýšenie úrovne zraniteľnosti oprávnení overovacím protokolom Kerberos PAC. Certifikát ATRIBÚTu oprávnenia (PAC) je rozšírenie žiadostí o službu Kerberos. Obsahuje informácie o overovaní používateľa a jeho oprávneniach. Táto aktualizácia opravuje nedostatočné zabezpečenie, pri ktorom používateľ procesu môže predstierať predstieranie podpisu a obísť kontroly zabezpečenia overovania podpisu PAC pridané v KB5020805: Ako spravovať zmeny protokolu Kerberos týkajúce sa CVE-2022-37967.
Ďalšie informácie o týchto rizikách nájdete v témach CVE-2024-26248 a CVE-2024-29056.
Vykonať akciu
DÔLEŽITÉKrok 1 na inštaláciu aktualizácie vydanej 9. apríla 2024 alebo po 9. apríli 2024 nebude v predvolenom nastavení plne riešiť problémy so zabezpečením v službách CVE-2024-26248 a CVE-2024-29056 . Ak chcete úplne vyriešiť problém so zabezpečením pre všetky zariadenia, po úplnej aktualizácii prostredia musíte prejsť do vynúteného režimu (popísaného v kroku 3).
Ak chcete chrániť svoje prostredie a zabrániť výpadkom, odporúčame vykonať tieto kroky:
-
AKTUALIZÁCIA: Radiče domény systému Windows a klienti Windowsu musia byť aktualizované aktualizáciou zabezpečenia systému Windows vydanou 9. apríla 2024 alebo po jej vydaní.
-
MONITOR: Udalosti auditu budú viditeľné v režime kompatibility na identifikáciu zariadení, ktoré sa neaktualizovali.
-
POVOLIŤ: Po úplnom zapnutí režimu presadzovania vo vašom prostredí budú slabé miesta popísané v cve-2024-26248 a CVE-2024-29056 zmiernené.
Pozadie
Keď pracovná stanica systému Windows vykoná overenie PAC v toku overovania protokolu Kerberos prichádzajúcej pošty, vykoná novú požiadavku (Network Ticket Logon) na overenie žiadosti o službu. Požiadavka sa najprv prepošle do radiča domény (DC) domény pracovných staníc prostredníctvom netlogonu.
Ak konto služby a konto počítača patria do rôznych domén, požiadavka sa prenáša cez potrebné trusty prostredníctvom služby Netlogon, kým sa neprenesie do domény služieb. V opačnom prípade dc v doméne kont počítačov vykonáva overenie. Dc potom zavolá Key Distribution Center (KDC) overiť PAC podpisy žiadosti o službu a odošle informácie o používateľovi a zariadení späť do pracovnej stanice.
Ak sa žiadosť a odpoveď prepošle v rámci dôveryhodnosti (v prípade, že konto služby a pracovná stanica patria do rôznych domén), každý dc v rámci dôveryhodnosti filtruje údaje oprávnenia, ktoré sa na ňu vzťahujú.
Časová os zmien
Aktualizácie sa vydávajú takto. Všimnite si, že tento plán vydania môže byť podľa potreby revidovaný.
Počiatočná fáza nasadenia sa začína aktualizáciami vydanými 9. apríla 2024. Táto aktualizácia pridáva nové správanie, ktoré zabraňuje zvýšenia zraniteľnosti oprávnení popísaných v CVE-2024-26248 a CVE-2024-29056 , ale nevynucuje ju, pokiaľ sa neaktualizujú radiče domény systému Windows aj klienti windowsu v prostredí.
Ak chcete povoliť nové správanie a zmierniť slabé miesta, musíte skontrolovať, či je aktualizované celé prostredie systému Windows (vrátane radičov domény aj klientov). Udalosti auditu sa zapíšu do denníka, čo pomôže identifikovať zariadenia, ktoré sa neaktualizovali.
Aktualizácie vydaná 15. októbra 2024 alebo po ňom, presunie všetky radiče domény systému Windows a klientov v prostredí do režimu vynútenia zmenou nastavení podkľúča databázy Registry na PacSignatureValidationLevel=3 a CrossDomainFilteringLevel=4, čím sa predvolene vynucuje zabezpečené správanie.
Predvolene vynútené nastavenia môže správca prepísať, aby sa vrátil do režimu kompatibility .
Aktualizácie zabezpečenia windowsu vydané 8. apríla 2025 alebo po ňom odstránia podporu podkľúčových kľúčov databázy Registry PacSignatureValidationLevel a CrossDomainFilteringLevel a vynútia nové bezpečné správanie. Po inštalácii tejto aktualizácie nebude k dispozícii žiadna podpora režimu kompatibility .
Možné problémy a zmiernenia rizík
Môžu sa vyskytnúť potenciálne problémy vrátane zlyhania overenia PAC a filtrovania krížového lesa. Aktualizácia zabezpečenia z 9. apríla 2024 obsahuje záložnú logiku a nastavenia databázy Registry, ktoré pomáhajú zmierniť tieto problémy
Nastavenie databázy Registry
Táto aktualizácia zabezpečenia je k dispozícii pre zariadenia s Windowsom (vrátane radičov domény). Nasledujúce kľúče databázy Registry ovládajúce správanie je potrebné nasadiť iba na server Kerberos, ktorý prijíma prichádzajúce overovanie Kerberos a vykonáva overenie PAC.
|
Podkľúč databázy Registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Hodnota |
PacSignatureValidationLevel (PacSignatureValidationLevel) |
|
|
Typ údajov |
REG_DWORD |
|
|
Údaje |
2 |
Predvolené (kompatibilita s neprenášaným prostredím) |
|
3 |
Presadzovať |
|
|
Vyžaduje sa reštartovanie? |
Nie |
|
|
Podkľúč databázy Registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Hodnota |
CrossDomainFilteringLevel |
|
|
Typ údajov |
REG_DWORD |
|
|
Údaje |
2 |
Predvolené (kompatibilita s neprenášaným prostredím) |
|
4 |
Presadzovať |
|
|
Vyžaduje sa reštartovanie? |
Nie |
|
Tento kľúč databázy Registry je možné nasadiť na oba servery systému Windows, ktoré prijímajú prichádzajúce overovanie kerberos, ako aj na akýkoľvek radič domény systému Windows, ktorý overuje nový postup prihlásenia do siete.
|
Podkľúč databázy Registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Hodnota |
AuditKerberosTicketLogonEvents |
|
|
Typ údajov |
REG_DWORD |
|
|
Údaje |
1 |
Predvolené – zaznamenávanie kritických udalostí |
|
2 |
Zapísať všetky udalosti netlogonu do denníka |
|
|
0 |
Nezapisovať udalosti Netlogonu |
|
|
Vyžaduje sa reštartovanie? |
Nie |
|
Denníky udalostí
Nasledujúce udalosti auditu protokolu Kerberos sa vygenerujú na serveri Kerberos, ktorý prijíma prichádzajúce overovanie Kerberos. Tento server Kerberos bude vykonávať overovanie PAC, ktoré používa nový tok prihlásenia do siete.
|
Denník udalostí |
Systém |
|
Typ udalosti |
Informačné |
|
Zdroj udalosti |
Security-Kerberos |
|
Identifikačné číslo udalosti |
21 |
|
Text udalosti |
Počas prihlásenia do siete Kerberos sa v žiadosti o službu account <account> z domain <Domain> vykonali nasledujúce akcie, ktoré vykonal> radič domény DC <. Ďalšie informácie nájdete na https://go.microsoft.com/fwlink/?linkid=2262558. |
Táto udalosť sa zobrazí, keď radič domény prijal počas postupu prihlásenia do sieťového lístka ne fatálnu akciu. Odteraz sa zaznamenávajú tieto akcie:
-
Identifikátory SID používateľov boli filtrované.
-
Identifikátory SID zariadenia boli filtrované.
-
Zložená identita bola odstránená z dôvodu filtrovania SID, ktoré povolilo identitu zariadenia.
-
Zložená identita bola odstránená z dôvodu filtrovania SID, ktoré povolilo názov domény zariadenia.
|
Denník udalostí |
Systém |
|
Typ udalosti |
Chyba |
|
Zdroj udalosti |
Security-Kerberos |
|
Identifikačné číslo udalosti |
22 |
|
Text udalosti |
Počas prihlásenia do siete Kerberos dc <DC> zamietol lístok služby account <account> z domény <domain> z dôvodov uvedených nižšie. Ďalšie informácie nájdete na https://go.microsoft.com/fwlink/?linkid=2262558. |
Táto udalosť sa zobrazí, keď radič domény odmietol požiadavku network ticket logon z dôvodov uvedených v udalosti.
|
Denník udalostí |
Systém |
|
Typ udalosti |
Upozornenie alebo chyba |
|
Zdroj udalosti |
Security-Kerberos |
|
Identifikačné číslo udalosti |
23 |
|
Text udalosti |
Počas prihlásenia do siete Kerberos sa nepodarilo preposlať lístok služby pre konto <account_name> z <domain_name> domén do radiča domény na spracovanie požiadavky. Ďalšie informácie nájdete na https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Táto udalosť sa zobrazí ako upozornenie, ak pacsignatureValidationLevel AND CrossDomainFilteringLevel nie sú nastavené na možnosť Vynútiť alebo prísnejšie. Keď sa udalosť zaznamená ako upozornenie, znamená to, že postupy prihlásenia do siete kontaktovali radič domény alebo ekvivalentné zariadenie, ktoré nerozumelo novému mechanizmu. Overenie bolo povolené záložne k predchádzajúcemu správaniu.
-
Táto udalosť sa zobrazí ako chyba, ak je možnosť PacSignatureValidationLevel ALEBO CrossDomainFilteringLevel nastavená na možnosť Vynútiť alebo prísnejšie. Táto udalosť ako "chyba" označuje, že tok prihlásenia do siete kontaktoval radič domény alebo ekvivalentné zariadenie, ktoré nerozumelo novému mechanizmu. Overenie bolo odmietnuté a nepodarilo sa záložne k predchádzajúcemu správaniu.
|
Denník udalostí |
Systém |
|
Typ udalosti |
Chyba |
|
Zdroj udalosti |
Netlogon |
|
Identifikačné číslo udalosti |
5842 |
|
Text udalosti |
V službe Netlogon sa vyskytla neočakávaná chyba pri spracovaní požiadavky na prihlásenie do siete kerberos. Ďalšie informácie nájdete na stránke https://go.microsoft.com/fwlink/?linkid=2261497. Konto žiadosti o službu: <konto> Service Ticket Domain: <Domain> Názov pracovnej stanice: <názov počítača> Stav:> kódu chyby < |
Táto udalosť sa vygeneruje vždy, keď sa v programe Netlogon počas požiadavky na prihlásenie do siete vyskytne neočakávaná chyba. Táto udalosť sa zaznamená, keď je auditKerberosTicketLogonEvents nastavený na hodnotu (1) alebo vyššiu.
|
Denník udalostí |
Systém |
|
Typ udalosti |
Upozornenie |
|
Zdroj udalosti |
Netlogon |
|
Identifikačné číslo udalosti |
5843 |
|
Text udalosti |
Službe Netlogon sa nepodarilo preposlať požiadavku protokolu Kerberos Network Ticket Logon na radič domény <DC>. Ďalšie informácie nájdete na stránke https://go.microsoft.com/fwlink/?linkid=2261497. Konto žiadosti o službu: <konto> Service Ticket Domain: <Domain> Názov pracovnej stanice: <názov počítača> |
Táto udalosť sa vygeneruje vždy, keď program Netlogon nemohol dokončiť prihlásenie do siete, pretože radič domény nepochopil zmeny. Z dôvodu obmedzení v protokole Netlogon klient Netlogon nedokáže určiť, či radič domény, s ktorým klient Netlogon hovorí priamo, je ten, ktorý nerozumie zmenám, alebo či ide o radič domény v rámci reťazca preposielania, ktorý nerozumie zmenám.
-
Ak je doména lístok služby rovnaká ako doména konta počítača, je pravdepodobné, že radič domény v denníku udalostí nerozumie postupu prihlásenia do sieťového lístka.
-
Ak sa doména lístok služby líši od domény konta počítača, niektorý z radičov domény na ceste z domény konta počítača do domény konta služby nerozumel postupu prihlásenia do siete.
Táto udalosť je predvolene vypnutá. Spoločnosť Microsoft odporúča, aby používatelia najskôr aktualizovali celý svoj vozový park pred zapnutím udalosti.
Táto udalosť sa zaznamená, keď je auditKerberosTicketLogonEvents nastavený na hodnotu (2).
Najčastejšie otázky
Radič domény, ktorý nie je aktualizovaný, nerozpozná túto novú štruktúru požiadavky. To spôsobí zlyhanie kontroly zabezpečenia. V režime kompatibility sa použije stará štruktúra požiadavky. Tento scenár je stále zraniteľný voči CVE-2024-26248 a CVE-2024-29056.
Áno. Dôvodom je, že nový postup prihlásenia do sieťového lístka môže byť potrebné smerovať cez domény, aby sa dostal do domény konta služby.
Overenie PAC sa môže za určitých okolností vynechať vrátane, ale nie výlučne, nasledujúcich scenárov:
-
Ak služba má oprávnenie TCB. Vo všeobecnosti majú služby spustené v kontexte konta SYSTEM (ako sú napríklad zdieľania súborov SMB alebo servery LDAP) toto oprávnenie.
-
Ak je služba spustená z Plánovača úloh.
V opačnom prípade sa overovanie PAC vykonáva vo všetkých prichádzajúcich overovacích tokoch protokolu Kerberos.
Tieto CVE zahŕňajú miestne zvýšenie úrovne oprávnenia, kde škodlivé alebo zneužité konto služby spustené na pracovnej stanici systému Windows sa pokúša zvýšiť svoje oprávnenie na získanie práv lokálnej správy. To znamená, že je ovplyvnená len pracovná stanica systému Windows, ktorá prijíma prichádzajúce overovanie Kerberos.
