Rezime
Bezbednosne ispravke operativnog sistema Windows objavljene 9. aprila 2024. ili posle 9. aprila 2024. podići su ranjivosti privilegija pomoću Kerberos PAC protokola za validaciju. Certifikat atributa Privilege Attribute (PAC) je proširenje za tikete usluge Kerberos. On sadrži informacije o korisniku koji potvrde identiteta i njihovim privilegijama. Ova ispravka popravlja ranjivost gde korisnik procesa može da prevare potpis da bi zaobišao bezbednosne provere valjanosti PAC potpisa dodate u KB5020805: Kako da upravljate promenama Kerberos protokola u vezi sa CVE-2022-37967.
Da biste saznali više o ovim ranjivostima, posetite CVE-2024-26248 i CVE-2024-29056.
Preduzimanje radnje
VAЋNO1. korak za instaliranje ispravke objavljene 9. aprila 2024. neće biti u potpunosti rešeni bezbednosni problemi u CVE-2024-26248 i CVE-2024-29056 . Da biste u potpunosti umanjili bezbednosni problem za sve uređaje, morate da pređete u nametnut režim (opisano u 3. koraku) kada se okruženje potpuno ažurira.
Da biste zaštitili okruženje i sprečili prekede, preporučujemo sledeće korake:
-
AŽURIRANJE: Windows kontrolori domena i Windows klijenti moraju da se ažuriraju Windows bezbednosnom ispravkom objavljenom 9. aprila 2024. ili posle toga.
-
MONITOR: Događaji nadzora će biti vidljivi u režimu kompatibilnosti da bi se identifikovali uređaji koji nisu ažurirani.
-
OMOGUĆI: Kada režim sprovođenja bude u potpunosti omogućen u okruženju, ranjivosti opisane u programima CVE-2024-26248 i CVE-2024-29056 biće umanjene.
Pozadini
Kada Windows radna prodavnica izvrši PAC validaciju u dolaznom Kerberos toku potvrde identiteta, izvršava novi zahtev (prijavljivanje tiketa na mrežu) za proveru valjanosti tiketa za uslugu. Zahtev se prvobitno prosleđujete kontroloru domena (DC) domena Workstations putem usluge Netlogon.
Ako nalog usluge i nalog računara pripadaju različitim domenima, zahtev se prenosi preko neophodnih poverenja putem programa Netlogon dok ne stigne do domena usluga; u suprotnom, DC na domenu naloga računara izvršava validaciju. DC zatim poziva Key Distribution Center (KDC) da proveri valjanost PAC potpisa tiketa usluge i šalje informacije o korisniku i uređaju nazad na radnu lokaciju.
Ako su zahtev i odgovor prosleđeni u poverenje (u slučaju kada nalog usluge i nalog radne sobe pripadaju različitim domenima), svaki DC u okviru podataka o autorizaciji filtera pouzdanih filtera koji se odnosi na njega.
Vremenska osa promena
Novosti se objave na sledeći način. Imajte na umu da ovaj raspored izdanja može da se korigujete po potrebi.
Početna faza primene počinje ispravkama objavljenim 9. aprila 2024. Ova ispravka dodaje novo ponašanje koje sprečava podizanje ranjivosti privilegija opisanih u cve-2024-26248 i CVE-2024-29056 , ali ga ne nameće ako se ne ažuriraju i Windows kontrolori domena i Windows klijenti u okruženju.
Da biste omogućili novo ponašanje i smanjili ranjivosti, morate da se uverite da je čitavo Windows okruženje (uključujući i kontrolere domena i klijente) ažurirano. Događaji nadzora će biti evidentirani da bi se lakše identifikovali uređaji koji nisu ažurirani.
Novosti objavljen 15. oktobra 2024. premestiće sve Windows kontrolere domena i klijente u okruženju u nametnut režim promenom postavki potključa registratora u PacSignatureValidationLevel=3 i CrossDomainFilteringLevel=4, namećući podrazumevano bezbedno ponašanje.
Administrator može zameniti postavke Nametnuto podrazumevanim postavkama da bi se vratili u režim kompatibilnosti .
Windows bezbednosne ispravke objavljene 8. aprila 2025. ili posle toga ukloniće podršku za potključove registratora PacSignatureValidationLevel i CrossDomainFilteringLevel i nametnuće novo bezbedno ponašanje. Neće biti podrške za režim kompatibilnosti nakon instaliranja ove ispravke.
Potencijalni problemi i umanjivanja
Može doći do potencijalnih problema, uključujući PAC proveru valjanosti i neuspešno filtriranje u više šuma. Bezbednosna ispravka od 9. aprila 2024. uključuje povratnu logiku i postavke registratora kako bi pomogla u umanjivanju ovih problema
Postavke registratora
Ova bezbednosna ispravka se nudi Windows uređajima (uključujući kontrolera domena). Sledeći ključevi registratora koji kontrolišu ponašanje treba da se primene samo na Kerberos serveru koji prihvata dolaznu Kerberos potvrdu identiteta i izvršavanje PAC provere valjanosti.
|
Potključ registratora |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Vrednost |
PacSignatureValidationLevel |
|
|
Tip podataka |
REG_DWORD |
|
|
Podataka |
2 |
Podrazumevano (Kompatibilnost sa neobjašnjenim okruženjem) |
|
3 |
Sprovodi |
|
|
Potrebno je ponovno pokretanje? |
Ne |
|
|
Potključ registratora |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Vrednost |
CrossDomainFilteringLevel |
|
|
Tip podataka |
REG_DWORD |
|
|
Podataka |
2 |
Podrazumevano (Kompatibilnost sa neobjašnjenim okruženjem) |
|
4 |
Sprovodi |
|
|
Potrebno je ponovno pokretanje? |
Ne |
|
Ovaj ključ registratora može da se primeni na Windows servere koji prihvataju dolaznu Kerberos potvrdu identiteta, kao i na sve Windows kontrolere domena koji proveravaju valjanost novog toka prijavljivanja mrežnih tiketa tokom tog posla.
|
Potključ registratora |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Vrednost |
AuditKerberosTicketLogonEvents |
|
|
Tip podataka |
REG_DWORD |
|
|
Podataka |
1 |
Podrazumevano – evidencija kritičnih događaja |
|
2 |
Evidentiraj sve Netlogon događaje |
|
|
0 |
Ne evidentiraj Netlogon događaje |
|
|
Potrebno je ponovno pokretanje? |
Ne |
|
Evidencije događaja
Sledeći događaji Kerberos nadzora biće generisani na Kerberos serveru koji prihvata dolaznu Kerberos potvrdu identiteta. Ovaj Kerberos server će obavljati PAC proveru valjanosti, koja koristi novi tok prijavljivanja mrežnih tiketa.
|
Evidencija događaja |
Sistem |
|
Tip događaja |
Informaciono |
|
Izvor događaja |
Security-Kerberos |
|
ID događaja |
21 |
|
Tekst događaja |
Tokom prijavljivanja kerberos mrežnih tiketa, tiket za uslugu za nalog <naloga> sa sajta Domain <Domain> imao je sledeće radnje koje mu je uradio DC <Domain Controller>. Za više informacija posetite https://go.microsoft.com/fwlink/?linkid=2262558. |
Ovaj događaj se prikazuje kada je kontroler domena preduzeo ne-fatalnu radnju tokom toka prijavljivanja mrežnih tiketa. Od sada se evidentiraju sledeće radnje:
-
SiD-e korisnika su filtrirane.
-
SID-e uređaja su filtrirane.
-
Povezani identitet je uklonjen zbog SID filtriranja koje ne onemogućava identitet uređaja.
-
Povezani identitet je uklonjen zbog SID filtriranja koje ne potiče od imena domena uređaja.
|
Evidencija događaja |
Sistem |
|
Tip događaja |
Greška |
|
Izvor događaja |
Security-Kerberos |
|
ID događaja |
22 |
|
Tekst događaja |
Tokom prijavljivanja Kerberos mrežnih tiketa, tiket za nalog <naloga> domena <Domain> odbijen je od strane DC <DC> zbog dolenavedenih razloga. Za više informacija posetite https://go.microsoft.com/fwlink/?linkid=2262558. |
Ovaj događaj se prikazuje kada je kontrolor domena odbio zahtev za prijavljivanje na mrežni tiket iz razloga prikazanih u događaju.
|
Evidencija događaja |
Sistem |
|
Tip događaja |
Upozorenje ili greška |
|
Izvor događaja |
Security-Kerberos |
|
ID događaja |
23 |
|
Tekst događaja |
Tokom prijavljivanja Kerberos mrežnih tiketa, tiket usluge za nalog <account_name> sa lokacije Domain <domain_name> nije bilo moguće proslediti kontroloru domena da bi se servisirao zahtev. Za više informacija posetite https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Ovaj događaj se prikazuje kao upozorenje ako PacSignatureValidationLevel AND CrossDomainFilteringLevel nisu postavljeni na Nametanje ili strože. Kada se evidentira kao upozorenje, događaj ukazuje na to da su tokovi prijavljivanja mrežnih tiketa kontaktirali kontroler domena ili uređaj koji nije razumeo novi mehanizam. Potvrda identiteta je dozvoljena da se vratite na prethodno ponašanje.
-
Ovaj događaj se prikazuje kao greška ako je postavka PacSignatureValidationLevel OR CrossDomainFilteringLevel postavljena na Nametanje ili strože. Ovaj događaj kao "greška" ukazuje na to da je tok prijavljivanja mrežnih tiketa kontaktirao kontroler domena ili uređaj koji nije razumeo novi mehanizam. Potvrda identiteta je odbijena i nije mogla da se poništi na prethodno ponašanje.
|
Evidencija događaja |
Sistem |
|
Tip događaja |
Greška |
|
Izvor događaja |
Netlogon |
|
ID događaja |
5842 |
|
Tekst događaja |
Usluga Netlogon je naišla na neočekivanu grešku prilikom obrade zahteva za prijavljivanje na Kerberos mrežni tiket. Za više informacija posetite https://go.microsoft.com/fwlink/?linkid=2261497. Nalog tiketa za uslugu: <nalog> Domen tiketa usluge: <domen> Ime radne baze podataka: <ime računara> Status: <kod greške> |
Ovaj događaj se generiše svaki put kada Netlogon naiđe na neočekivanu grešku tokom zahteva za prijavljivanje na mrežni tiket. Ovaj događaj se evidentira kada je funkcija AuditKerberosTicketLogonEvents postavljena na (1) ili noviju verziju.
|
Evidencija događaja |
Sistem |
|
Tip događaja |
Upozorenje |
|
Izvor događaja |
Netlogon |
|
ID događaja |
5843 |
|
Tekst događaja |
Usluga Netlogon nije uspela da prosledi zahtev za prijavljivanje u Kerberos mrežni tiket na kontroler domena <DC>. Za više informacija posetite https://go.microsoft.com/fwlink/?linkid=2261497. Nalog tiketa za uslugu: <nalog> Domen tiketa usluge: <domen> Ime radne baze podataka: <ime računara> |
Ovaj događaj se generiše svaki put kada Netlogon nije mogao da dovrši prijavljivanje mrežnih tiketa zato što kontrolor domena nije razumeo promene. Zbog ograničenja Netlogon protokola, Netlogon klijent ne može da utvrdi da li kontroler domena sa kog Klijent za Netlogon razgovara direktno jeste taj koji ne razume promene ili je to kontroler domena u lancu prosleđivanja koji ne razume promene.
-
Ako je domen tiketa usluge isti kao domen naloga računara, verovatno kontroler domena u evidenciji događaja ne razume tok prijavljivanja mrežnih tiketa.
-
Ako se domen tiketa usluge razlikuje od domena naloga računara, jedan od kontrolera domena na putu od domena računara do domena naloga usluge nije razumeo tok prijavljivanja mrežnih tiketa
Ovaj događaj je podrazumevano isključen. Microsoft preporučuje da korisnici prvo ažuriraju ceo flotu pre uključivanja događaja.
Ovaj događaj se evidentira kada je svojstvo AuditKerberosTicketLogonEvents postavljeno na (2).
Najčešća pitanja (najčešća pitanja)
Kontroler domena koji nije ažuriran neće prepoznati ovu novu strukturu zahteva. To će dovesti do neuspeha bezbednosne provere. U režimu kompatibilnosti koristiće se stara struktura zahteva. Ovaj scenario je i dalje ranjiv na CVE-2024-26248 i CVE-2024-29056.
Da. To je zbog toga što novi tok prijavljivanja mrežnih tiketa možda mora da se usmera preko domena da bi dosegao domen naloga usluge.
PAC provera valjanosti može biti preskočena u određenim okolnostima, uključujući, ali ne ograničavajući se na sledeće scenarije:
-
Ako usluga ima TCB privilegiju. Usluge pokrenute u kontekstu SYSTEM naloga (kao što su deljene datoteke SMB ili LDAP serveri) obično imaju ovu privilegiju.
-
Ako se usluga pokreće iz planra zadataka.
U suprotnom, PAC validacija se izvršava na svim dolaznim Kerberos tocima potvrde identiteta.
Ovi CV-ovi uključuju lokalno podizanja privilegija gde zlonamerni ili ugroženi nalog usluge pokrenut na Windows workstation pokušava da podiže privilegiju da bi stekao lokalna prava administracije. To znači da će to uticati samo na Windows Workstation prihvatanje dolazne Kerberos potvrde identiteta.
