Özet
9 Nisan 2024 veya sonrasında yayımlanan Windows güvenlik güncelleştirmeleri, Kerberos PAC Doğrulama Protokolü ile ayrıcalık yükseltme güvenlik açıklarını giderir. Privilege Attribute Certificate (PAC), Kerberos hizmet biletlerinin uzantısıdır. Kimlik doğrulama kullanıcısı ve ayrıcalıkları hakkında bilgi içerir. Bu güncelleştirme, işlem kullanıcısının KB5020805 eklenen PAC imzası doğrulama güvenlik denetimlerini atlamak için imzayı taklit ettiği bir güvenlik açığını giderir : CVE-2022-37967 ile ilgili Kerberos protokol değişikliklerini yönetme.
Bu güvenlik açıkları hakkında daha fazla bilgi edinmek için CVE-2024-26248 ve CVE-2024-29056'yı ziyaret edin.
Eyleme Geç
ÖNEMLİ9 Nisan 2024 veya sonrasında yayımlanan güncelleştirmeyi yüklemek için 1. adım, varsayılan olarak CVE-2024-26248 ve CVE-2024-29056'daki güvenlik sorunlarını tam olarak çözmez. Tüm cihazlarda güvenlik sorununu tamamen azaltmak için, ortamınız tam olarak güncelleştirildikten sonra Zorunlu moda (3. Adım'da açıklanmıştır) geçmeniz gerekir.
Ortamınızı korumaya ve kesintileri önlemeye yardımcı olmak için aşağıdaki adımları öneririz:
-
GÜNCELLEŞTİRME: Windows etki alanı denetleyicileri ve Windows istemcileri, 9 Nisan 2024 tarihinde veya sonrasında yayımlanan bir Windows güvenlik güncelleştirmesi ile güncelleştirilmelidir.
-
MONİTÖR: Güncelleştirilmeyen cihazları belirlemek için denetim olayları Uyumluluk modunda görünür.
-
ETKİNLEŞTİRMEK: Zorlama modu ortamınızda tamamen etkinleştirildikten sonra CVE-2024-26248 ve CVE-2024-29056'da açıklanan güvenlik açıkları giderilecektir.
Arka plan
Bir Windows iş istasyonu gelen Kerberos kimlik doğrulama akışında PAC Doğrulaması gerçekleştirdiğinde, hizmet biletini doğrulamak için yeni bir istek (Ağ Anahtarı Oturum Açma) gerçekleştirir. İstek başlangıçta Netlogon aracılığıyla workstations etki alanının etki alanı denetleyicisine (DC) iletilir.
Hizmet hesabı ve bilgisayar hesabı farklı etki alanlarına aitse istek, hizmetler etki alanına ulaşana kadar Netlogon aracılığıyla gerekli güvenler arasında taşınır; aksi takdirde, bilgisayar hesapları etki alanındaki DC doğrulamayı gerçekleştirir. Ardından DC, hizmet biletinin PAC imzalarını doğrulamak için Anahtar Dağıtım Merkezi'ni (KDC) çağırır ve kullanıcı ve cihaz bilgilerini iş istasyonuna geri gönderir.
İstek ve yanıt bir güven arasında iletilirse (hizmet hesabı ve iş istasyonu hesabının farklı etki alanlarına ait olması durumunda), güven genelindeki her DC, ilgili yetkilendirme verilerini filtreler.
Değişikliklerin zaman çizelgesi
Güncelleştirmeler aşağıdaki gibi yayınlanmıştır. Bu sürüm zamanlamasının gerektiği gibi düzeltilebileceğini unutmayın.
İlk dağıtım aşaması, 9 Nisan 2024'te yayımlanan güncelleştirmelerle başlar. Bu güncelleştirme, CVE-2024-26248 ve CVE-2024-29056'da açıklanan ayrıcalıkların yükseltilmesini engelleyen yeni davranışlar ekler, ancak ortamdaki hem Windows etki alanı denetleyicileri hem de Windows istemcileri güncelleştirilmediği sürece bunu zorlamaz.
Yeni davranışı etkinleştirmek ve güvenlik açıklarını azaltmak için tüm Windows ortamınızın (hem etki alanı denetleyicileri hem de istemciler dahil) güncelleştirildiğinden emin olmanız gerekir. Güncelleştirilmeyen cihazların tanımlanmasına yardımcı olması için Denetim Olayları günlüğe kaydedilir.
15 Ekim 2024 tarihinde veya sonrasında yayımlanan Güncelleştirmeler, kayıt defteri alt anahtarı ayarlarını PacSignatureValidationLevel=3 ve CrossDomainFilteringLevel=4 olarak değiştirerek varsayılan olarak güvenli davranışı zorunlu kılarak ortamdaki tüm Windows etki alanı denetleyicilerini ve istemcilerini Zorunlu moda taşır.
Varsayılan Olarak Zorlanan ayarları, Uyumluluk moduna geri dönmek için Yönetici tarafından geçersiz kılınabilir.
8 Nisan 2025 tarihinde veya sonrasında yayımlanan Windows güvenlik güncelleştirmeleri PacSignatureValidationLevel ve CrossDomainFilteringLevel kayıt defteri alt anahtarları desteğini kaldırır ve yeni güvenli davranışı zorunlu kılacaktır. Bu güncelleştirme yüklendikten sonra Uyumluluk modu desteği olmayacaktır.
Olası sorunlar ve risk azaltmalar
PAC doğrulama ve ormanlar arası filtreleme hataları da dahil olmak üzere ortaya çıkabilecek olası sorunlar vardır. 9 Nisan 2024 güvenlik güncelleştirmesi, bu sorunların azaltılmasına yardımcı olmak için geri dönüş mantığı ve kayıt defteri ayarlarını içerir
Kayıt defteri ayarları
Bu güvenlik güncelleştirmesi Windows cihazlarına (etki alanı denetleyicileri dahil) sunulur. Davranışı denetleye aşağıdaki kayıt defteri anahtarlarının yalnızca gelen Kerberos kimlik doğrulamasını kabul eden ve PAC Doğrulaması gerçekleştiren Kerberos sunucusuna dağıtılması gerekir.
|
Kayıt Defteri Alt Anahtarı |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Değer |
PacSignatureValidationLevel |
|
|
Veri Türü |
REG_DWORD |
|
|
Veri |
2 |
Varsayılan (eşleşmeyen ortamla uyumluluk) |
|
3 |
Zorlamak |
|
|
Yeniden Başlatma Gerekli mi? |
Hayır |
|
|
Kayıt Defteri Alt Anahtarı |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Değer |
CrossDomainFilteringLevel |
|
|
Veri Türü |
REG_DWORD |
|
|
Veri |
2 |
Varsayılan (eşleşmeyen ortamla uyumluluk) |
|
4 |
Zorlamak |
|
|
Yeniden Başlatma Gerekli mi? |
Hayır |
|
Bu kayıt defteri anahtarı hem gelen Kerberos kimlik doğrulamasını kabul eden Windows sunucularına hem de yol boyunca yeni Ağ Bileti Oturum Açma akışını doğrulayan herhangi bir Windows Etki Alanı Denetleyicisine dağıtılabilir.
|
Kayıt Defteri Alt Anahtarı |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Değer |
AuditKerberosTicketLogonEvents |
|
|
Veri Türü |
REG_DWORD |
|
|
Veri |
1 |
Varsayılan – Kritik olayları günlüğe kaydet |
|
2 |
Tüm Netlogon Olaylarını Günlüğe Kaydet |
|
|
0 |
Netlogon Olaylarını günlüğe kaydetme |
|
|
Yeniden Başlatma Gerekli mi? |
Hayır |
|
Olay günlükleri
Gelen Kerberos kimlik doğrulamasını kabul eden Kerberos Sunucusunda aşağıdaki Kerberos denetim olayları oluşturulur. Bu Kerberos sunucusu, yeni Ağ Bileti Oturum Açma Akışını kullanan PAC Doğrulaması yapacaktır.
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Bilgi |
|
Olay Kaynağı |
Security-Kerberos |
|
Olay Kimliği |
21 |
|
Olay Metni |
Kerberos Ağ Anahtarı Oturum Açma sırasında, Etki Alanı <Etki Alanı> Hesap <Hesabı> için hizmet biletine DC <Etki Alanı Denetleyicisi> tarafından aşağıdaki eylemler yapılmıştır. Daha fazla bilgi için lütfen https://go.microsoft.com/fwlink/?linkid=2262558 ziyaret edin. |
Bu olay, Bir Etki Alanı Denetleyicisi Bir Ağ Bileti Oturum Açma akışı sırasında önemli olmayan bir eyleme geçtiğinde gösterilir. Şu andan itibaren aşağıdaki eylemler günlüğe kaydedilir:
-
Kullanıcı SID'leri filtrelendi.
-
Cihaz SID'leri filtrelendi.
-
Sid filtresinin cihazın kimliğine izin vermemesi nedeniyle bileşik kimlik kaldırıldı.
-
Sid filtresinin cihazın etki alanı adına izin vermemesi nedeniyle bileşik kimlik kaldırıldı.
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Hata |
|
Olay Kaynağı |
Security-Kerberos |
|
Olay Kimliği |
22 |
|
Olay Metni |
Kerberos Ağ Anahtarı Oturum Açma sırasında, Etki Alanı <Etki Alanı> Hesap <Hesabı> için hizmet bileti, aşağıdaki nedenlerle DC <DC> tarafından reddedildi. Daha fazla bilgi için lütfen https://go.microsoft.com/fwlink/?linkid=2262558 ziyaret edin. |
Bu olay, bir Etki Alanı Denetleyicisi, olayda gösterilen nedenlerden dolayı Ağ Bileti Oturum Açma isteğini reddettiğında gösterilir.
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı veya Hata |
|
Olay Kaynağı |
Security-Kerberos |
|
Olay Kimliği |
23 |
|
Olay Metni |
Kerberos Ağ Anahtarı Oturum Açma sırasında, Etki Alanı <domain_name> Hesap <account_name> hizmet bileti, isteğe hizmet vermek için bir Etki Alanı Denetleyicisine iletilemedi. Daha fazla bilgi için lütfen https://go.microsoft.com/fwlink/?linkid=2262558 ziyaret edin. |
-
PacSignatureValidationLevel AND CrossDomainFilteringLevel , Zorlama veya daha katı olarak ayarlanmamışsa, bu olay bir uyarı olarak gösterilir. Uyarı olarak günlüğe kaydedildiğinde, olay Ağ Bileti Oturum Açma akışlarının yeni mekanizmayı anlamayan bir etki alanı denetleyicisine veya eşdeğer bir cihaza başvurduğunu gösterir. Kimlik doğrulamasının önceki davranışa geri dönüşine izin verildi.
-
PacSignatureValidationLevel OR CrossDomainFilteringLevel , Enforce veya stricter olarak ayarlandıysa bu olay hata olarak gösterilir. Bu "hata" olayı, Ağ Bileti Oturum Açma akışının yeni mekanizmayı anlamayan bir etki alanı denetleyicisine veya eşdeğer bir cihaza başvurduğunu gösterir. Kimlik doğrulaması reddedildi ve önceki davranışa geri dönüş yapılamadı.
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Hata |
|
Olay Kaynağı |
Netlogon |
|
Olay Kimliği |
5842 |
|
Olay Metni |
Netlogon hizmeti, Kerberos Ağ Bileti Oturum Açma isteğini işlerken beklenmeyen bir hatayla karşılaştı. Daha fazla bilgi için lütfen https://go.microsoft.com/fwlink/?linkid=2261497 ziyaret edin. Hizmet Bileti Hesabı: <Hesabı> Hizmet Bileti Etki Alanı: <Etki Alanı> İş İstasyonu Adı: <Makine Adı> Durum: hata kodu> < |
Bu olay, Ağ Bileti oturum açma isteği sırasında Netlogon beklenmeyen bir hatayla karşılaştığında oluşturulur. AuditKerberosTicketLogonEvents (1) veya üzeri olarak ayarlandığında bu olay günlüğe kaydedilir.
|
Olay Günlüğü |
Sistem |
|
Olay Türü |
Uyarı |
|
Olay Kaynağı |
Netlogon |
|
Olay Kimliği |
5843 |
|
Olay Metni |
Netlogon hizmeti, Etki Alanı Denetleyicisi <DC> Kerberos Ağ Bileti Oturum Açma isteğini iletemedi. Daha fazla bilgi için lütfen https://go.microsoft.com/fwlink/?linkid=2261497 ziyaret edin. Hizmet Bileti Hesabı: <Hesabı> Hizmet Bileti Etki Alanı: <Etki Alanı> İş İstasyonu Adı: <Makine Adı> |
Bu olay, Etki Alanı Denetleyicisi değişiklikleri anlamadığından Netlogon Ağ Bileti Oturum Açma işlemini tamamlayamadığında oluşturulur. Netlogon protokolündeki sınırlamalar nedeniyle Netlogon istemcisi, Netlogon istemcisinin doğrudan konuştuğu Etki Alanı Denetleyicisi'nin değişiklikleri anlamayan etki alanı denetleyicisi olup olmadığını veya değişiklikleri anlamayan iletme zinciri boyunca bir Etki Alanı Denetleyicisi olup olmadığını belirleyemez.
-
Hizmet Bileti Etki Alanı, makine hesabının etki alanıyla aynıysa, olay günlüğündeki Etki Alanı Denetleyicisinin Ağ Bileti oturum açma akışını anlamaması olasıdır.
-
Hizmet Bileti Etki Alanı, makine hesabının etki alanından farklıysa, Makine Hesabının Etki Alanından Hizmet Hesabının Etki Alanına giden yol boyunca etki alanı denetleyicisinden biri Ağ Bileti Oturum Açma akışını anlamadı
Bu olay varsayılan olarak kapalıdır. Microsoft, etkinliği açmadan önce kullanıcıların tüm filolarını güncelleştirmelerini önerir.
AuditKerberosTicketLogonEvents (2) olarak ayarlandığında bu olay günlüğe kaydedilir.
Sık Sorulan Sorular (SSS)
Güncelleştirilmemiş bir Etki Alanı Denetleyicisi bu yeni istek yapısını tanımaz. Bu, güvenlik denetiminin başarısız olmasına neden olur. Uyumluluk modunda eski istek yapısı kullanılır. Bu senaryo hala CVE-2024-26248 ve CVE-2024-29056'ya karşı savunmasızdır.
Evet. Bunun nedeni, yeni Ağ Bileti Oturum Açma akışının hizmet hesabının etki alanına ulaşmak için etki alanları arasında yönlendirilmesi gerekebilir.
PAC Doğrulaması, aşağıdaki senaryolar dahil ancak bunlarla sınırlı olmamak üzere belirli durumlarda atlanabilir:
-
Hizmetin TCB ayrıcalığı varsa. Genel olarak, SYSTEM hesabı bağlamında çalışan hizmetler (SMB Dosya Paylaşımları veya LDAP sunucuları gibi) bu ayrıcalığı içerir.
-
Hizmet Görev Zamanlayıcı'dan çalıştırılırsa.
Aksi takdirde, PAC Doğrulaması tüm gelen Kerberos Kimlik Doğrulama Akışlarında gerçekleştirilir.
Bu CV'ler, Windows İş İstasyonu'nda çalışan kötü amaçlı veya güvenliği aşılmış bir hizmet hesabının yerel Yönetim hakları kazanmak için ayrıcalıklarını yükseltmeye çalıştığı Yerel Ayrıcalık Yükseltmesi içerir. Bu, yalnızca gelen Kerberos Kimlik Doğrulamasını kabul eden Windows İş İstasyonunun etkilendiği anlamına gelir.
