บทสรุป
การอัปเดตความปลอดภัยของ Windows ที่เผยแพร่เมื่อวันที่ 9 เมษายน 2024 หรือหลังจากนั้นจะจัดการการยกระดับช่องโหว่สิทธิ์การใช้งานด้วย Kerberos PAC Validation Protocol ใบรับรองแอตทริบิวต์สิทธิ์ (PAC) เป็นส่วนขยายของตั๋วบริการ Kerberos ซึ่งประกอบด้วยข้อมูลเกี่ยวกับผู้ใช้ที่รับรองความถูกต้องและสิทธิ์ของผู้ใช้ การอัปเดตนี้จะแก้ไขช่องโหว่ที่ผู้ใช้ของกระบวนการสามารถปลอมแปลงลายเซ็นเพื่อเลี่ยงผ่านการตรวจสอบความปลอดภัยของลายเซ็น PAC ที่เพิ่ม KB5020805: วิธีการจัดการการเปลี่ยนแปลงโพรโทคอล Kerberos ที่เกี่ยวข้องกับ CVE-2022-37967
เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่เหล่านี้ ไปที่ CVE-2024-26248 และ CVE-2024-29056
ดำเนิน
สำคัญขั้นตอนที่ 1 ในการติดตั้งการอัปเดตที่เผยแพร่ในวันที่ 9 เมษายน 2024 หรือหลังจากนั้นจะไม่แก้ไขปัญหาด้านความปลอดภัยทั้งหมดใน CVE-2024-26248 และ CVE-2024-29056 ตามค่าเริ่มต้น เพื่อลดปัญหาด้านความปลอดภัยสําหรับอุปกรณ์ทั้งหมดคุณต้องย้ายไปยังโหมดบังคับใช้ (ตามที่อธิบายไว้ในขั้นตอนที่ 3) เมื่อสภาพแวดล้อมของคุณได้รับการอัปเดตอย่างสมบูรณ์
เพื่อช่วยปกป้องสภาพแวดล้อมของคุณและป้องกันการหยุดทํางาน เราขอแนะนําให้ทําตามขั้นตอนต่อไปนี้:
-
ปรับ ปรุง: ตัวควบคุมโดเมน Windows และไคลเอ็นต์ Windows ต้องได้รับการอัปเดตด้วยการอัปเดตความปลอดภัยของ Windows ที่เผยแพร่ในวันที่ 9 เมษายน 2024 หรือหลังจากนั้น
-
ตรวจ สอบ: เหตุการณ์การตรวจสอบจะมองเห็นได้ในโหมด ความเข้ากันได้ เพื่อระบุอุปกรณ์ที่ไม่ได้อัปเดต
-
เปิด: หลังจากเปิดใช้งานโหมดการบังคับใช้ อย่างสมบูรณ์ในสภาพแวดล้อมของคุณ ช่องโหว่ที่อธิบายไว้ใน CVE-2024-26248 และ CVE-2024-29056 จะบรรเทา
ภาพพื้นหลัง
เมื่อเวิร์กสเตชันของ Windows ทําการตรวจสอบ PAC ในขั้นตอนการรับรองความถูกต้อง Kerberos ขาเข้า จะดําเนินการคําขอใหม่ (Network Ticket Logon) เพื่อตรวจสอบความถูกต้องของตั๋วบริการ เริ่มแรกคําขอถูกส่งต่อไปยังตัวควบคุมโดเมน (DC) ของโดเมนเวิร์กสเตชันผ่าน Netlogon
ถ้าบัญชีผู้ใช้บริการและบัญชีผู้ใช้คอมพิวเตอร์เป็นของโดเมนอื่น การร้องขอจะถูกดําเนินการผ่านความเชื่อถือที่จําเป็นผ่านทาง Netlogon จนกว่าจะถึงโดเมนบริการ มิฉะนั้น DC ในโดเมนบัญชีคอมพิวเตอร์จะดําเนินการตรวจสอบความถูกต้อง จากนั้น DC จะเรียก Key Distribution Center (KDC) เพื่อตรวจสอบความถูกต้องของลายเซ็น PAC ของตั๋วบริการ และส่งข้อมูลผู้ใช้และอุปกรณ์กลับไปยังเวิร์กสเตชัน
ถ้าคําขอและการตอบกลับถูกส่งต่อไปยังความน่าเชื่อถือ (ในกรณีที่บัญชีบริการและบัญชีเวิร์กสเตชันเป็นของโดเมนอื่น) DC แต่ละ DC ในข้อมูลการตรวจสอบสิทธิ์ตัวกรองความเชื่อถือที่เกี่ยวข้อง
ไทม์ไลน์ของการเปลี่ยนแปลง
Updates มีการเผยแพร่ดังนี้ โปรดทราบว่ากําหนดการการเผยแพร่นี้อาจได้รับการแก้ไขตามความจําเป็น
ระยะการปรับใช้เริ่มต้นด้วยการอัปเดตที่เผยแพร่ในวันที่ 9 เมษายน 2024 การอัปเดตนี้เพิ่มลักษณะการทํางานใหม่ที่ป้องกันไม่ให้มีการยกระดับช่องโหว่สิทธิ์การใช้งานที่อธิบายใน CVE-2024-26248 และ CVE-2024-29056 แต่ไม่ได้บังคับใช้เว้นแต่ว่าตัวควบคุมโดเมน Windows และไคลเอ็นต์ Windows ในสภาพแวดล้อมได้รับการอัปเดตแล้ว
เมื่อต้องการเปิดใช้งานลักษณะการทํางานใหม่และเพื่อลดช่องโหว่ คุณต้องตรวจสอบให้แน่ใจว่าสภาพแวดล้อม Windows ทั้งหมด (รวมถึงตัวควบคุมโดเมนและไคลเอ็นต์) ได้รับการอัปเดตแล้ว ระบบจะบันทึกเหตุการณ์การตรวจสอบเพื่อช่วยระบุอุปกรณ์ที่ไม่ได้อัปเดต
Updates วางจําหน่ายในวันที่ 15 ตุลาคม 2024 หรือหลังจากนั้น จะย้ายตัวควบคุมโดเมนและไคลเอ็นต์ของ Windows ทั้งหมดในสภาพแวดล้อมไปยังโหมดบังคับใช้โดยการเปลี่ยนการตั้งค่าคีย์ย่อยรีจิสทรีเป็น PacSignatureValidationLevel=3 และ CrossDomainFilteringLevel=4 โดยบังคับใช้ลักษณะการทํางานที่ปลอดภัยตามค่าเริ่มต้น
การตั้งค่า บังคับใช้ตามค่าเริ่มต้น สามารถแทนที่ได้โดยผู้ดูแลระบบเพื่อแปลงกลับเป็นโหมดความเข้ากันได้
การอัปเดตความปลอดภัยของ Windows ที่เผยแพร่ในวันที่ 8 เมษายน 2025 หรือหลังจากนั้นจะลบการสนับสนุนสําหรับคีย์ย่อยรีจิสทรี PacSignatureValidationLevel และ CrossDomainFilteringLevel และบังคับใช้ลักษณะการทํางานที่ปลอดภัยใหม่ จะไม่มีการสนับสนุนสําหรับโหมด ความเข้ากันได้ หลังจากติดตั้งการอัปเดตนี้
ปัญหาที่อาจเกิดขึ้นและการบรรเทาปัญหา
มีปัญหาที่อาจเกิดขึ้น รวมถึงการตรวจสอบความถูกต้องของ PAC และความล้มเหลวในการกรองข้ามฟอเรสต์ 9 เมษายน 2024 การอัปเดตความปลอดภัยมีตรรกะย้อนกลับและการตั้งค่ารีจิสทรีเพื่อช่วยบรรเทาปัญหาเหล่านี้
การตั้งค่ารีจิสทรี
การอัปเดตความปลอดภัยนี้มีให้กับอุปกรณ์ Windows (รวมถึงตัวควบคุมโดเมน) รีจิสทรีคีย์ต่อไปนี้ควบคุมลักษณะการทํางานจะต้องปรับใช้กับเซิร์ฟเวอร์ Kerberos ที่ยอมรับการรับรองความถูกต้อง Kerberos ขาเข้าและการดําเนินการตรวจสอบ PAC เท่านั้น
|
คีย์ย่อยของรีจิสทรี |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
ค่า |
PacSignatureValidationLevel |
|
|
ชนิดข้อมูล |
Reg_dword |
|
|
ข้อมูล |
2 |
ค่าเริ่มต้น (ความเข้ากันได้กับสภาพแวดล้อมที่ไม่มีการปะติดกัน) |
|
3 |
บังคับ |
|
|
ต้องเริ่มระบบของคอมพิวเตอร์ใหม่หรือไม่ |
ไม่ใช่ |
|
|
คีย์ย่อยของรีจิสทรี |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
ค่า |
CrossDomainFilteringLevel |
|
|
ชนิดข้อมูล |
Reg_dword |
|
|
ข้อมูล |
2 |
ค่าเริ่มต้น (ความเข้ากันได้กับสภาพแวดล้อมที่ไม่มีการปะติดกัน) |
|
4 |
บังคับ |
|
|
ต้องเริ่มระบบของคอมพิวเตอร์ใหม่หรือไม่ |
ไม่ใช่ |
|
รีจิสทรีคีย์นี้สามารถปรับใช้กับทั้งเซิร์ฟเวอร์ Windows ที่ยอมรับการรับรองความถูกต้อง Kerberos ขาเข้า รวมถึงตัวควบคุมโดเมนของ Windows ใดๆ ที่ตรวจสอบโฟลว์การเข้าสู่ระบบตั๋วเครือข่ายใหม่ไปพร้อมกัน
|
คีย์ย่อยของรีจิสทรี |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
ค่า |
AuditKerberosTicketLogonEvents |
|
|
ชนิดข้อมูล |
Reg_dword |
|
|
ข้อมูล |
1 |
ค่าเริ่มต้น – บันทึกเหตุการณ์สําคัญ |
|
2 |
บันทึกเหตุการณ์ Netlogon ทั้งหมด |
|
|
0 |
อย่าบันทึกเหตุการณ์ Netlogon |
|
|
ต้องเริ่มระบบของคอมพิวเตอร์ใหม่หรือไม่ |
ไม่ใช่ |
|
บันทึกเหตุการณ์
เหตุการณ์การตรวจสอบ Kerberos ต่อไปนี้จะถูกสร้างขึ้นบนเซิร์ฟเวอร์ Kerberos ที่ยอมรับการรับรองความถูกต้อง Kerberos ขาเข้า เซิร์ฟเวอร์ Kerberos นี้จะดําเนินการตรวจสอบความถูกต้องของ PAC ซึ่งใช้ Network Ticket Logon Flow ใหม่
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
ข้อมูล |
|
แหล่งของเหตุการณ์ |
Security-Kerberos |
|
ID เหตุการณ์ |
21 |
|
ข้อความเหตุการณ์ |
ในระหว่างการเข้าสู่ระบบตั๋วเครือข่าย Kerberos ตั๋วบริการสําหรับบัญชี <> จากโดเมน <โดเมน> ดําเนินการต่อไปนี้โดย DC <> ตัวควบคุมโดเมน สําหรับข้อมูลเพิ่มเติม โปรดไปที่ https://go.microsoft.com/fwlink/?linkid=2262558 |
เหตุการณ์นี้จะแสดงขึ้นเมื่อตัวควบคุมโดเมนดําเนินการที่ไม่ร้ายแรงในระหว่างโฟลว์การเข้าสู่ระบบตั๋วเครือข่าย นับจากนี้ จะมีการบันทึกการดําเนินการต่อไปนี้:
-
SID ของผู้ใช้ถูกกรอง
-
SID ของอุปกรณ์ถูกกรอง
-
ข้อมูลประจําตัวแบบผสมถูกเอาออกเนื่องจากการกรอง SID ไม่อนุญาตให้ใช้ข้อมูลประจําตัวของอุปกรณ์
-
ข้อมูลประจําตัวแบบผสมถูกเอาออกเนื่องจากการกรอง SID ไม่อนุญาตให้ใช้ชื่อโดเมนของอุปกรณ์
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
ข้อผิดพลาด |
|
แหล่งของเหตุการณ์ |
Security-Kerberos |
|
ID เหตุการณ์ |
22 |
|
ข้อความเหตุการณ์ |
ในระหว่างการเข้าสู่ระบบตั๋วเครือข่าย Kerberos ตั๋วบริการสําหรับบัญชี <> จากโดเมน <โดเมน> ถูกปฏิเสธโดย> DC <DC เนื่องจากเหตุผลด้านล่าง สําหรับข้อมูลเพิ่มเติม โปรดไปที่ https://go.microsoft.com/fwlink/?linkid=2262558 |
เหตุการณ์นี้จะแสดงขึ้นเมื่อตัวควบคุมโดเมนปฏิเสธคําขอการเข้าสู่ระบบตั๋วเครือข่ายเนื่องจากสาเหตุที่แสดงในเหตุการณ์
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คําเตือนหรือข้อผิดพลาด |
|
แหล่งของเหตุการณ์ |
Security-Kerberos |
|
ID เหตุการณ์ |
23 |
|
ข้อความเหตุการณ์ |
ในระหว่างการเข้าสู่ระบบตั๋วเครือข่าย Kerberos ตั๋วบริการสําหรับ <account_name> บัญชีจาก <domain_name> โดเมนไม่สามารถส่งต่อไปยังตัวควบคุมโดเมนเพื่อให้บริการคําขอ สําหรับข้อมูลเพิ่มเติม โปรดไปที่ https://go.microsoft.com/fwlink/?linkid=2262558 |
-
เหตุการณ์นี้จะแสดงเป็นคําเตือนถ้า PacSignatureValidationLevel และ CrossDomainFilteringLevel ไม่ได้ถูกตั้งค่าเป็น บังคับใช้หรือเข้มงวดกว่า เมื่อบันทึกเป็นคําเตือน เหตุการณ์ระบุว่าโฟลว์การเข้าสู่ระบบ Network Ticket ติดต่อตัวควบคุมโดเมนหรืออุปกรณ์ที่เทียบเท่าที่ไม่เข้าใจกลไกใหม่ การรับรองความถูกต้องได้รับอนุญาตให้ย้อนกลับไปยังลักษณะการทํางานก่อนหน้านี้
-
เหตุการณ์นี้แสดงเป็นข้อผิดพลาดถ้า PacSignatureValidationLevel หรือ CrossDomainFilteringLevel ถูกตั้งค่าเป็น บังคับใช้ หรือเข้มงวดยิ่งขึ้น เหตุการณ์นี้เป็น "ข้อผิดพลาด" ระบุว่าโฟลว์การเข้าสู่ระบบตั๋วคําร้องเครือข่ายติดต่อตัวควบคุมโดเมนหรืออุปกรณ์ที่เทียบเท่าที่ไม่เข้าใจกลไกใหม่ การรับรองความถูกต้องถูกปฏิเสธ และไม่สามารถย้อนกลับไปยังลักษณะการทํางานก่อนหน้านี้ได้
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
ข้อผิดพลาด |
|
แหล่งของเหตุการณ์ |
Netlogon |
|
ID เหตุการณ์ |
5842 |
|
ข้อความเหตุการณ์ |
บริการ Netlogon พบข้อผิดพลาดที่ไม่คาดคิดเมื่อประมวลผลการร้องขอการเข้าสู่ระบบตั๋วเครือข่าย Kerberos สําหรับข้อมูลเพิ่มเติม โปรดไปที่ https://go.microsoft.com/fwlink/?linkid=2261497 บัญชีตั๋วบริการ:> บัญชี < โดเมนตั๋วบริการ:> โดเมน < ชื่อเวิร์กสเตชัน:> ชื่อเครื่อง < สถานะ: <> รหัสข้อผิดพลาด |
เหตุการณ์นี้ถูกสร้างขึ้นเมื่อใดก็ตามที่ Netlogon พบข้อผิดพลาดที่ไม่คาดคิดระหว่างการร้องขอการเข้าสู่ระบบ Network Ticket เหตุการณ์นี้ถูกบันทึกเมื่อ AuditKerberosTicketLogonEvents ถูกตั้งค่าเป็น (1) หรือสูงกว่า
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Netlogon |
|
ID เหตุการณ์ |
5843 |
|
ข้อความเหตุการณ์ |
บริการ Netlogon ไม่สามารถส่งต่อการร้องขอการเข้าสู่ระบบตั๋วเครือข่าย Kerberos ไปยัง> ตัวควบคุมโดเมน <DC สําหรับข้อมูลเพิ่มเติม โปรดไปที่ https://go.microsoft.com/fwlink/?linkid=2261497 บัญชีตั๋วบริการ:> บัญชี < โดเมนตั๋วบริการ:> โดเมน < ชื่อเวิร์กสเตชัน:> ชื่อเครื่อง < |
เหตุการณ์นี้ถูกสร้างขึ้นเมื่อใดก็ตามที่ Netlogon ไม่สามารถทําการเข้าสู่ระบบตั๋วเครือข่ายให้เสร็จสมบูรณ์ได้เนื่องจากตัวควบคุมโดเมนไม่เข้าใจการเปลี่ยนแปลง เนื่องจากข้อจํากัดในโพรโทคอล Netlogon ไคลเอ็นต์ Netlogon จึงไม่สามารถระบุได้ว่าตัวควบคุมโดเมนที่ไคลเอ็นต์ Netlogon กําลังพูดโดยตรงเป็นตัวควบคุมที่ไม่เข้าใจการเปลี่ยนแปลง หรือเป็นตัวควบคุมโดเมนตามสายการส่งต่อที่ไม่เข้าใจการเปลี่ยนแปลงหรือไม่
-
ถ้า Service Ticket Domain เหมือนกับโดเมนของบัญชีเครื่อง อาจเป็นไปได้ว่าตัวควบคุมโดเมนในบันทึกเหตุการณ์ไม่เข้าใจโฟลว์การเข้าสู่ระบบ Network Ticket
-
ถ้าโดเมนตั๋วบริการแตกต่างจากโดเมนของบัญชีเครื่อง ตัวควบคุมโดเมนตัวใดตัวหนึ่งระหว่างโดเมนของบัญชีเครื่องไปยังโดเมนของบัญชีบริการไม่เข้าใจขั้นตอนการเข้าสู่ระบบตั๋วเครือข่าย
เหตุการณ์นี้ไม่อยู่ตามค่าเริ่มต้น Microsoft ขอแนะนําให้ผู้ใช้อัปเดตกองเรือทั้งหมดก่อนที่จะเปิดเหตุการณ์ก่อน
เหตุการณ์นี้ถูกบันทึกเมื่อ AuditKerberosTicketLogonEvents ถูกตั้งค่าเป็น (2)
คําถามที่ถามบ่อย (FAQ)
ตัวควบคุมโดเมนที่ไม่ได้อัปเดตจะไม่รู้จักโครงสร้างการร้องขอใหม่นี้ การทําเช่นนี้จะทําให้การตรวจสอบความปลอดภัยล้มเหลว ในโหมดความเข้ากันได้ จะใช้โครงสร้างคําขอเก่า สถานการณ์นี้ยังคงมีความเสี่ยงต่อ CVE-2024-26248 และ CVE-2024-29056
ได้ ทั้งนี้เนื่องจากโฟลว์การเข้าสู่ระบบตั๋วเครือข่ายใหม่อาจจําเป็นต้องถูกกําหนดเส้นทางข้ามโดเมนเพื่อเข้าถึงโดเมนของบัญชีบริการ
การตรวจสอบความถูกต้องของ PAC อาจถูกข้ามในบางสถานการณ์ รวมถึงแต่ไม่จํากัดเพียงสถานการณ์ต่อไปนี้:
-
หากบริการมีสิทธิพิเศษ TCB โดยทั่วไปบริการที่ทํางานภายใต้บริบทของบัญชีระบบ (เช่น SMB File Shares หรือเซิร์ฟเวอร์ LDAP) มีสิทธิ์นี้
-
หากบริการถูกเรียกใช้จาก Task Scheduler
มิฉะนั้น การตรวจสอบความถูกต้องของ PAC จะดําเนินการในขั้นตอนการรับรองความถูกต้อง Kerberos ขาเข้าทั้งหมด
CVEs เหล่านี้เกี่ยวข้องกับการยกระดับสิทธิ์เฉพาะที่ซึ่งบัญชีบริการที่เป็นอันตรายหรือถูกบุกรุกที่ทํางานบนเวิร์กสเตชันของ Windows พยายามยกระดับสิทธิ์ของพวกเขาเพื่อรับสิทธิ์การดูแลระบบภายในเครื่อง ซึ่งหมายความว่าเฉพาะเวิร์กสเตชันของ Windows ที่ยอมรับการรับรองความถูกต้อง Kerberos ขาเข้าเท่านั้นที่จะได้รับผลกระทบ
