Зведення
Оновлення системи безпеки Windows, випущені 9 квітня 2024 р. або пізніше, можуть усунути вразливості прав за допомогою протоколу перевірки PAC Kerberos. Сертифікат атрибута privilege (PAC) – це розширення квитків на обслуговування Kerberos. Містить відомості про автентифікацію користувача та їхні права. Це оновлення усуває вразливість, коли користувач процесу може спустошувати підпис, щоб обійти перевірки безпеки підпису PAC, додані в KB5020805: Керування змінами протоколу Kerberos, пов'язаними з CVE-2022-37967.
Щоб дізнатися більше про ці вразливості, відвідайте CVE-2024-26248 і CVE-2024-29056.
Вжити заходів
ВАЖЛИВОКрок 1 для інсталяції оновлення, випущеного 9 квітня 2024 р. або пізніше, не повністю вирішуватиме проблеми безпеки в CVE-2024-26248 і CVE-2024-29056 за замовчуванням. Щоб повністю зменшити проблему безпеки для всіх пристроїв, потрібно перейти в режим примусового застосування (описаний на кроці 3), коли середовище повністю оновиться.
Щоб захистити середовище та запобігти перебої в роботі, радимо виконати такі дії:
-
ОНОВЛЕННЯ: Контролери домену Windows і клієнти Windows мають оновитися оновленням системи безпеки Windows, випущеним 9 квітня 2024 р. або пізніше.
-
МОНІТОР: Події аудиту відображатимуться в режимі сумісності , щоб визначити пристрої, які не оновлюються.
-
УВІМКНУТИ: Після повного ввімкнення режиму примусового застосування у вашому середовищі вразливості, описані в CVE-2024-26248 і CVE-2024-29056 , буде пом'якшено.
"Фон"
Коли робоча станція Windows виконує перевірку PAC для вхідного потоку автентифікації Kerberos, вона виконує новий запит (вхід до мережевого квитка), щоб перевірити квиток служби. Спочатку запит пересилається контролеру домену (DC) домену Workstations через Netlogon.
Якщо обліковий запис служби та обліковий запис комп'ютера належать до різних доменів, запит передається через необхідні трасти через Netlogon, доки він не досягне домену служб; В іншому разі перевірка виконує контролер домену в домені облікових записів комп'ютерів. Dc потім викликає Центр розподілу ключів (KDC), щоб перевірити PAC підписи квиток служби і надсилає відомості про користувача та пристрій назад на робочу станцію.
Якщо запит і відповідь пересилаються через довіру (у випадку, якщо обліковий запис служби та робочий обліковий запис належать до різних доменів), кожен контролер домену в довірчій області фільтрує дані авторизації, які стосуються цього.
Часова шкала змін
Оновлення випускаються в такий спосіб: Зверніть увагу, що цей розклад випуску може бути переглянутий за потреби.
Початковий етап розгортання починається з оновлень, випущених 9 квітня 2024 року. Це оновлення додає нову поведінку, яка запобігає підвищенню вразливостей прав, описаних у CVE-2024-26248 і CVE-2024-29056 , але не застосовує його, якщо контролери домену Windows і клієнти Windows в середовищі не оновлюються.
Щоб увімкнути нову поведінку та зменшити вразливості, переконайтеся, що оновлено все середовище Windows (включно з контролерами домену та клієнтами). Події аудиту буде записано, щоб визначити пристрої, які не оновлюються.
Оновлення, випущені 15 жовтня 2024 р. або пізніше, перемістять усі контролери домену Та клієнти Windows у середовищі до застосованого режиму, змінивши параметри підрозділу реєстру на PacSignatureValidationLevel=3 і CrossDomainFilteringLevel=4, застосувавши безпечну поведінку за замовчуванням.
Адміністратор може перевищити параметри Застосовано за замовчуванням , щоб повернутися до режиму сумісності .
Оновлення системи безпеки Windows, випущені 8 квітня 2025 р. або пізніше, усунуть підтримку підрозділів реєстру PacSignatureValidationLevel і CrossDomainFilteringLevel і забезпечать нову безпечну поведінку. Після інсталяції цього оновлення підтримка режиму сумісності не підтримуватиметься.
Потенційні проблеми та послаблення ризиків
Можливі проблеми, зокрема перевірка PAC і помилки фільтрування між лісами. Оновлення системи безпеки від 9 квітня 2024 року містить резервну логіку та параметри реєстру, які допомагають зменшити ці проблеми
Параметри реєстру
Це оновлення системи безпеки пропонується для пристроїв Windows (включно з контролерами домену). Наведені нижче розділи реєстру, які керують поведінкою, потрібно розгортати лише на сервері Kerberos, який приймає вхідну автентифікацію Kerberos і виконує перевірку PAC.
|
Підрозділ реєстру |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Значення |
PacSignatureValidationLevel |
|
|
Тип даних |
REG_DWORD |
|
|
Дані |
2 |
За промовчанням (сумісність із незахищеним середовищем) |
|
3 |
Забезпечення |
|
|
Потрібне перезавантаження? |
Ні |
|
|
Підрозділ реєстру |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Значення |
Поле перехресного фільтрування домену |
|
|
Тип даних |
REG_DWORD |
|
|
Дані |
2 |
За промовчанням (сумісність із незахищеним середовищем) |
|
4 |
Забезпечення |
|
|
Потрібне перезавантаження? |
Ні |
|
Цей розділ реєстру можна розгорнути як на серверах Windows, які приймають вхідну автентифікацію Kerberos, так і на будь-якому контролері домену Windows, який перевіряє новий потік входу до мережі.
|
Підрозділ реєстру |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Значення |
AuditKerberosTicketLogonEvents |
|
|
Тип даних |
REG_DWORD |
|
|
Дані |
1 |
Default – журнал критичних подій |
|
2 |
Журнал усіх подій Netlogon |
|
|
0 |
Не записувати події Netlogon |
|
|
Потрібне перезавантаження? |
Ні |
|
Журнали подій
На сервері Kerberos, який приймає вхідну автентифікацію Kerberos, буде створено такі події аудиту Kerberos. Цей сервер Kerberos виконуватиме перевірку PAC, яка використовує новий потік входу до мережі.
|
Журнал подій |
Система |
|
Тип події |
Інформаційних |
|
Джерело події |
Security-Kerberos |
|
Ідентифікатор події |
21 |
|
Текст події |
Під час входу до мережевого квитка Kerberos квиток служби для облікового запису <облікового запису> з домену <домен> було виконано до нього за допомогою контролера домену <контролера домену>. Щоб отримати додаткові відомості, відвідайте https://go.microsoft.com/fwlink/?linkid=2262558. |
Ця подія відображається, коли контролер домену прийняв некритим дії під час потоку входу до мережі квиток. Наразі реєструються такі дії:
-
Ідентифікатори ІДЕНТИФІКАТОРІВ КОРИСТУВАЧА відфільтровано.
-
Відфільтровано ідентифікатори SID пристрою.
-
Складену ідентичність видалено через те, що фільтрування SID забороняє перевірку ідентичності пристрою.
-
Складену ідентичність видалено через фільтрування SID, що забороняє використання імені домену пристрою.
|
Журнал подій |
Система |
|
Тип події |
Помилка |
|
Джерело події |
Security-Kerberos |
|
Ідентифікатор події |
22 |
|
Текст події |
Під час входу до мережевого квитка Kerberos запит на обслуговування облікового запису <облікового запису> з доменного <домен> було відхилено dc <DC> з наведених нижче причин. Щоб отримати додаткові відомості, відвідайте https://go.microsoft.com/fwlink/?linkid=2262558. |
Ця подія відображається, коли контролер домену відхилив запит мережевого входу квиток з причин, показаних у події.
|
Журнал подій |
Система |
|
Тип події |
Попередження або помилка |
|
Джерело події |
Security-Kerberos |
|
Ідентифікатор події |
23 |
|
Текст події |
Під час входу до мережевого квитка Kerberos квиток служби для облікового запису <account_name> з domain <domain_name> не вдалося переслати контролеру домену для обслуговування запиту. Щоб отримати додаткові відомості, відвідайте https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Ця подія відображається як попередження, якщо параметр PacSignatureValidationLevel AND CrossDomainFilteringLevel не має значення Примусово або суворіше. У журналі як попередження, подія вказує на те, що потік вхід до мережі квиток зв'язався з контролером домену або еквівалентний пристрій, який не зрозумів новий механізм. Автентифікації було дозволено відкотити до попередньої поведінки.
-
Ця подія відображається як помилка, якщо для параметра PacSignatureValidationLevel OR CrossDomainFilteringLevel установлено значення Примусово або суворіше. Ця подія як "помилка" вказує на те, що потік входу до мережі квиток зв'язався з контролером домену або еквівалентним пристроєм, який не зрозумів новий механізм. Автентифікацію відхилено та не вдалося повернутися до попередньої поведінки.
|
Журнал подій |
Система |
|
Тип події |
Помилка |
|
Джерело події |
Netlogon (Нетлогон) |
|
Ідентифікатор події |
5842 |
|
Текст події |
Сталася неочікувана помилка служби Netlogon під час обробки запиту входу до мережі Kerberos. Щоб отримати додаткові відомості, відвідайте https://go.microsoft.com/fwlink/?linkid=2261497. Обліковий запис квитка на обслуговування: <облікового запису> Домен квитка-служби: <домен> Ім'я робочої станції: ім'я> <комп'ютера Стан: код помилки <> |
Ця подія створюється щоразу, коли Netlogon виявив неочікувану помилку під час запиту на вхід до мережі квиток. Ця подія записується, коли для параметра AuditKerberosTicketLogonEvents установлено значення (1) або пізнішої версії.
|
Журнал подій |
Система |
|
Тип події |
Попередження |
|
Джерело події |
Netlogon (Нетлогон) |
|
Ідентифікатор події |
5843 |
|
Текст події |
Службі Netlogon не вдалося переслати запит входу до мережі Kerberos до контролера домену <DC>. Щоб отримати додаткові відомості, відвідайте https://go.microsoft.com/fwlink/?linkid=2261497. Обліковий запис квитка на обслуговування: <облікового запису> Домен квитка-служби: <домен> Ім'я робочої станції: ім'я> <комп'ютера |
Ця подія створюється щоразу, коли Netlogon не вдалося завершити вхід до мережі квиток, оскільки контролер домену не зрозумів зміни. Через обмеження в протоколі Netlogon клієнт Netlogon не може визначити, чи контролер домену, з яким безпосередньо розмовляє клієнт Netlogon, – це той, який не розуміє змін, чи це контролер домену уздовж ланцюжка пересилання, який не розуміє змін.
-
Якщо домен квиток служби збігається з доменом облікового запису комп'ютера, цілком імовірно, що контролер домену в журналі подій не розуміє потік входу до мережі квиток.
-
Якщо домен квиток служби відрізняється від домену облікового запису комп'ютера, один з контролерів домену на цьому шляху від домену облікового запису комп'ютера до домену облікового запису служби не зрозумів потік входу до мережі квиток
Цю подію вимкнуто за замовчуванням. Корпорація Майкрософт рекомендує користувачам спочатку оновити весь свій автопарк, перш ніж увімкнути подію.
Ця подія записується, коли для параметра AuditKerberosTicketLogonEvents установлено значення (2).
Запитання й відповіді (запитання й відповіді)
Контролер домену, який не оновлюється, не розпізнає цю нову структуру запитів. Це призведе до помилки перевірки безпеки. У режимі сумісності використовуватиметься стара структура запитів. Цей сценарій досі вразливий до CVE-2024-26248 і CVE-2024-29056.
Так. Це пов'язано з тим, що новий потік входу до мережевого квитка, можливо, доведеться спрямувати через домени, щоб перейти до домену облікового запису служби.
Перевірка PAC може бути пропущена в певних випадках, зокрема, але не обмежуючись, такі сценарії:
-
Якщо служба має права TCB. Зазвичай такі права мають служби, запущені в контексті системного облікового запису (наприклад, SMB File Shares або LDAP servers).
-
Якщо службу запущено з планувальника завдань.
В іншому разі перевірка PAC виконується для всіх вхідних потоків автентифікації Kerberos.
Ці CVEs передбачають локальне підвищення прав, коли зловмисний або зламаний обліковий запис служби, запущений на робочій станції Windows, намагається підвищити свої права на отримання прав місцевого адміністрування. Це означає, що впливає лише робоча станція Windows, яка приймає вхідну автентифікацію Kerberos.
