Оновлено
10 квітня 2023 р. Оновлено "Третій етап розгортання" з 11 квітня 2023 року до 13 червня 2023 року в розділі "Терміни оновлення для вирішення CVE-2022-37967".
У цій статті
Зведення
Оновлення Windows від 8 листопада 2022 р. стосуються обходу системи безпеки та підвищення вразливостей прав із підписами сертифіката привілейованого атрибута (PAC). Це оновлення системи безпеки усуває вразливості Kerberos, коли зловмисник може цифрово змінювати підписи PAC, підвищуючи свої права.
Щоб захистити середовище, інсталюйте це оновлення Windows на всіх пристроях, зокрема на контролерах домену Windows. Перш ніж переключити оновлення до застосованого режиму, спочатку потрібно оновити всі контролери домену в домені.
Докладні відомості про цю вразливість див. в статті CVE-2022-37967.
Вжити заходів
Щоб захистити середовище та запобігти перебої, радимо виконати такі дії:
-
ОНОВІТЬ контролери домену Windows за допомогою оновлення Windows, випущеного 8 листопада 2022 р. або пізніше.
-
Перемістіть контролери домену Windows до режиму аудиту за допомогою розділу настройок розділу "Розділ реєстру ".
-
Відстежуйте події, подані в режимі аудиту для захисту вашого середовища.
-
УВІМКНУТИРежим примусового застосування для вирішення CVE-2022-37967 у вашому середовищі.
Примітка Крок 1 інсталяції оновлень, випущених 8 листопада 2022 р. або пізніше, не вирішуватиме проблеми безпеки в CVE-2022-37967 для пристроїв Windows за замовчуванням. Щоб повністю зменшити проблему безпеки на всіх пристроях, потрібно перейти в режим перевірки (описаний на кроці 2), а потім застосувати режим (описаний на кроці 4) якомога швидше на всіх контролерах домену Windows.
Увага! З липня 2023 року режим примусового застосування буде ввімкнуто на всіх контролерах домену Windows і блокуватиме вразливі підключення з пристроїв, які не відповідають вимогам. У цей час ви не зможете вимкнути оновлення, але можете повернутися до параметра Режим аудиту. Режим аудиту буде видалено в жовтні 2023 року, як зазначено в розділі Хронометраж оновлень для усунення вразливості Kerberos CVE-2022-37967 .
Час оновлення для вирішення CVE-2022-37967
Оновлення буде випущено поетапно: початковий етап для оновлень, випущених 8 листопада 2022 р. або пізніше, і етап примусового застосування оновлень, випущених 13 червня 2023 р. або пізніше.
Початковий етап розгортання починається з оновлень, випущених 8 листопада 2022 року, і продовжується з пізнішими оновленнями Windows до етапу примусового виконання. Це оновлення додає підписи до буфера PAC Kerberos, але не перевіряє наявність підписів під час автентифікації. Таким чином, безпечний режим вимкнуто за замовчуванням.
Це оновлення:
-
Додає підписи PAC до буфера PAC Kerberos.
-
Додає заходи для усунення вразливості обходу системи безпеки в протоколі Kerberos.
Другий етап розгортання починається з оновлень, випущених 13 грудня 2022 року. Ці та пізніші оновлення вносять зміни до протоколу Kerberos, щоб перевірити пристрої Windows, перемістивши контролери домену Windows до режиму перевірки.
У цьому оновленні всі пристрої будуть в режимі аудиту за замовчуванням:
-
Якщо підпис відсутній або неприпустимий, автентифікація дозволена. Крім того, буде створено контрольний журнал.
-
Якщо підпис відсутній, підніміть подію та дозвольте автентифікацію.
-
Якщо підпис присутній, перевірте його. Якщо підпис неправильний, підніміть подію та дозвольте автентифікацію.
Оновлення Windows, випущені 13 червня 2023 р. або пізніше, виконуватимуть такі дії:
-
Видаліть можливість вимкнути додавання підпису PAC, установивши для підрозділу KrbtgtFullPacSignature значення 0.
Оновлення Windows, випущені 11 липня 2023 р. або пізніше, виконуватимуть такі дії:
-
Видаляє можливість установлення значення 1 для підрозділу KrbtgtFullPacSignature.
-
Переміщує оновлення в режим примусового застосування (за замовчуванням) (KrbtgtFullPacSignature = 3), який може замінити адміністратор із явним параметром аудиту.
Оновлення Windows, випущені 10 жовтня 2023 р. або пізніше, виконуватимуть такі дії:
-
Видалення підтримки підрозділу реєстру KrbtgtFullPacSignature.
-
Видалення підтримки режиму аудиту.
-
Усі запити на обслуговування без нових підписів PAC буде відмовлено в автентифікації.
Рекомендації з розгортання
Щоб розгорнути оновлення Windows від 8 листопада 2022 р. або пізніші версії оновлень Windows, виконайте такі дії:
-
ОНОВІТЬ контролери домену Windows оновленням, випущеним 8 листопада 2022 р. або пізніше.
-
Перемістіть контролери домену в режим аудиту за допомогою розділу настройок розділу "Розділ реєстру".
-
Відстежуйте події, подані в режимі аудиту, щоб захистити ваше середовище.
-
УВІМКНУТИ Режим примусового застосування для вирішення CVE-2022-37967 у вашому середовищі.
КРОК 1. ОНОВЛЕННЯ
Розгортайте оновлення від 8 листопада 2022 р. або новішої версії для всіх відповідних контролерів домену Windows (DCs). Після розгортання оновлення контролери домену Windows, які було оновлено, матимуть підписи, додані до буфера PAC Kerberos і за замовчуванням будуть незахищені (підпис PAC не перевірено).
-
Під час оновлення обов'язково зберігайте значення реєстру KrbtgtFullPacSignature в стандартному стані, доки не буде оновлено всі контролери домену Windows.
КРОК 2. ПЕРЕМІЩЕННЯ
Коли контролери домену Windows буде оновлено, перейдіть у режим перевірки, змінивши значення KrbtgtFullPacSignature на 2.
КРОК 3. ПОШУК/МОНІТОР
Визначте області, у яких відсутні підписи PAC, або підписи PAC, які не пройшли перевірку через журнали подій, ініційовані в режимі аудиту.
-
Перш ніж переходити до режиму примусового застосування, переконайтеся, що для функціонального рівня домену встановлено значення принаймні 2008 або більше. Перехід до режиму примусового застосування з доменами на функціональному рівні домену 2003 може призвести до помилок автентифікації.
-
Контрольні події з'являться, якщо домен не повністю оновлено або якщо у вашому домені досі існують непогашені раніше видані квитки на обслуговування.
-
Продовжуйте стежити за додатковими журналами подій, які вказують на відсутність підписів PAC або помилки перевірки наявних підписів PAC.
-
Після оновлення всього домену та завершення терміну дії всіх непогашених квитків події аудиту більше не відображатимуться. Після цього ви зможете перейти в режим примусового застосування без помилок.
КРОК 4. УВІМКНЕННЯ
Увімкніть режим примусового застосування для вирішення CVE-2022-37967 у вашому середовищі.
-
Коли всі події аудиту буде усунуто та вони більше не відобразяться, перемістіть свої домени в режим примусового застосування, оновивши значення реєстру KrbtgtFullPacSignature , як описано в розділі параметрів розділу "Параметри розділу реєстру".
-
Якщо квиток служби має недійсний підпис PAC або відсутні підписи PAC, перевірка не пройде перевірку, і подія помилки буде записана в журнал.
Параметри розділу реєстру
Протокол Kerberos
Після інсталяції оновлень Windows, випущених 8 листопада 2022 р. або пізніше, для протоколу Kerberos доступний такий розділ реєстру:
-
KrbtgtFullPacSignature
Цей розділ реєстру використовується, щоб заміщувати розгортання змін Kerberos. Цей розділ реєстру тимчасовий і більше не буде прочитано після повної дати примусового застосування 10 жовтня 2023 року.Реєстру
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Значення
KrbtgtFullPacSignature
Тип даних
REG_DWORD
Дані
0 – вимкнуто
1 – нові підписи додаються, але не перевірені. (Стандартне значення)
2 - Режим аудиту. Нові підписи додаються та перевіряються за наявності. Якщо підпис відсутній або неприпустимий, автентифікація дозволена та створюються журнали аудиту.
3 - Режим примусового застосування. Нові підписи додаються та перевіряються за наявності. Якщо підпис відсутній або неприпустимий, автентифікацію заборонено, а журнали аудиту створюються.
Потрібне перезавантаження?
Ні
Нотатка Якщо потрібно змінити значення реєстру KrbtgtFullPacSignature, додайте вручну, а потім настройте розділ реєстру, щоб перевизначити стандартне значення.
Події Windows, пов'язані з CVE-2022-37967
У режимі аудиту може виявитися будь-яка з наведених нижче помилок, якщо PAC-підписи відсутні або неприпустимі. Якщо ця проблема не зникне в режимі примусового виконання, ці події буде записано як помилки.
Якщо на вашому пристрої виявлено помилку, цілком імовірно, що всі контролери домену Windows у вашому домені не оновлено до оновлення Windows від 8 листопада 2022 року або пізнішої версії. Щоб зменшити наслідки проблем, потрібно дослідити домен, щоб знайти нео найновіші контролери домену Windows.
Нотатка Якщо ви знайшли помилку з ідентифікатором події 42, див. статтю KB5021131: керування змінами протоколу Kerberos, пов'язаними з CVE-2022-37966.
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
|
Ідентифікатор події |
43 |
|
Текст події |
Центр розподілу ключів (KDC) виявив квиток, який не зміг перевірити |
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
|
Ідентифікатор події |
44 |
|
Текст події |
Центр розподілу ключів (KDC) виявив квиток, який не містив повний підпис PAC. Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2210019. Клієнт: <>/<ім'я> |
Сторонні пристрої, що реалізують протокол Kerberos
У режимі примусового застосування можуть відображатися помилки доменів, які мають контролери домену сторонніх постачальників.
Після інсталяції оновлення Windows від 8 листопада 2022 р. або пізнішої версії домени зі сторонніми клієнтами можуть повністю очиститися від подій аудиту.
Зверніться до виробника пристрою або постачальника програмного забезпечення, щоб дізнатися, чи сумісне його програмне забезпечення з останніми змінами протоколу.
Відомості про оновлення протоколу див. в статті Протокол Windows на веб-сайті Корпорації Майкрософт.
Глосарій
Kerberos – це протокол автентифікації комп'ютерної мережі, який працює на основі "квитків", щоб вузли, які спілкувалися через мережу, могли безпечно підтвердити свою ідентичність один одному.
Служба Kerberos, яка впроваджує служби автентифікації та надання квитків, указані в протоколі Kerberos. Служба працює на комп'ютерах, вибраних адміністратором царства або домену; він відсутній на кожному комп'ютері в мережі. Вона повинна мати доступ до бази даних облікового запису для огляду, яке вона обслуговує. KDCs інтегровано в роль контролера домену. Це мережева служба, яка надає клієнтам квитки для автентифікації в службах.
Сертифікат атрибута привілеїв (PAC) – це структура, яка передає відомості, пов'язані з авторизацією, надані контролерами домену (DCs). Докладні відомості див. в статті Структура даних сертифіката привілейованого атрибута.
Спеціальний тип квитка, який можна використовувати для отримання інших квитків. Квиток для надання квитків (TGT) отримується після початкової автентифікації в обміні службою автентифікації (AS); після цього користувачам не потрібно пред'являти свої облікові дані, але можуть використовувати TGT для отримання подальших квитків.
