Tóm tắt
Các bản cập nhật bảo mật Windows được phát hành vào hoặc sau ngày 9 tháng 4 năm 2024 giải quyết sự gia tăng các lỗ hổng đặc quyền bằng Giao thức Xác thực PAC Kerberos. Chứng chỉ Thuộc tính Đặc quyền (PAC) là phần mở rộng cho vé dịch vụ Kerberos. Tài liệu này chứa thông tin về người dùng xác thực và đặc quyền của họ. Bản cập nhật này khắc phục lỗ hổng trong đó người dùng quy trình có thể giả mạo chữ ký để bỏ qua kiểm tra bảo mật xác thực chữ ký PAC được thêm vào KB5020805: Cách quản lý thay đổi giao thức Kerberos liên quan đến CVE-2022-37967.
Để tìm hiểu thêm về các lỗ hổng này, hãy truy cập CVE-2024-26248 và CVE-2024-29056.
Thực hiện Hành động
QUAN TRỌNGBước 1 để cài đặt bản cập nhật được phát hành vào hoặc sau ngày 9 tháng 4 năm 2024 SẼ KHÔNG giải quyết đầy đủ các sự cố bảo mật trong CVE-2024-26248 và CVE-2024-29056 theo mặc định. Để giảm thiểu hoàn toàn sự cố bảo mật cho tất cả các thiết bị, bạn phải chuyển sang chế độ Bắt buộc (được mô tả trong Bước 3) sau khi môi trường của bạn được cập nhật đầy đủ.
Để giúp bảo vệ môi trường của bạn và ngăn ngừa sự cố, chúng tôi đề xuất các bước sau:
-
CẬP NHẬT: Bộ kiểm soát miền Windows và máy khách Windows phải được cập nhật với bản cập nhật bảo mật Windows được phát hành vào hoặc sau ngày 9 tháng 4 năm 2024.
-
MÀN HÌNH: Các sự kiện kiểm tra sẽ hiển thị trong chế độ Tương thích để nhận dạng các thiết bị không được cập nhật.
-
BẬT: Sau khi chế độ Thực thi được bật đầy đủ trong môi trường của bạn, các lỗ hổng được mô tả trong CVE-2024-26248 và CVE-2024-29056 sẽ được giảm nhẹ.
Nền
Khi một máy trạm Windows thực hiện XÁC thực PAC trên dòng xác thực Kerberos đến, nó thực hiện một yêu cầu mới (Đăng nhập vé mạng) để xác thực phiếu dịch vụ. Yêu cầu ban đầu được chuyển tiếp đến bộ kiểm soát miền (DC) của miền Máy trạm thông qua Netlogon.
Nếu tài khoản dịch vụ và tài khoản máy tính thuộc các miền khác nhau, yêu cầu được thực hiện trên các mục tin cậy cần thiết thông qua Netlogon cho đến khi nó đến miền dịch vụ; nếu không, DC trong miền tài khoản máy tính thực hiện xác thực. DC sau đó các cuộc gọi quan trọng trung tâm phân phối (KDC) để xác nhận các chữ ký PAC phiếu dịch vụ và gửi thông tin người dùng và thiết bị trở lại máy trạm.
Nếu yêu cầu và trả lời được chuyển tiếp trên một tin cậy (trong trường hợp tài khoản dịch vụ và tài khoản máy trạm thuộc các miền khác nhau), mỗi DC trên ủy quyền bộ lọc dữ liệu ủy quyền liên quan đến nó.
Đường thời gian của các thay đổi
Cập nhật phát hành như sau. Lưu ý rằng lịch phát hành này có thể được sửa đổi nếu cần.
Giai đoạn triển khai ban đầu bắt đầu với các bản cập nhật được phát hành vào ngày 9 tháng 4 năm 2024. Bản cập nhật này thêm hành vi mới ngăn chặn sự gia tăng lỗ hổng đặc quyền được mô tả trong CVE-2024-26248 và CVE-2024-29056 nhưng không thực thi nó trừ khi cả hai bộ kiểm soát miền Windows và máy khách Windows trong môi trường được cập nhật.
Để cho phép hành vi mới và để giảm thiểu các lỗ hổng, bạn phải đảm bảo rằng toàn bộ môi trường Windows của bạn (bao gồm cả bộ điều khiển miền và máy khách) được cập nhật. Sự kiện Kiểm tra sẽ được ghi nhật ký để giúp xác định các thiết bị không được cập nhật.
Cập nhật hành vào hoặc sau ngày 15 tháng 10 năm 2024, sẽ di chuyển tất cả các bộ kiểm soát miền Windows và máy khách trong môi trường sang chế độ Bắt buộc bằng cách thay đổi cài đặt khóa đăng ký thành PacSignatureValidationLevel=3 và CrossDomainFilteringLevel=4, thực thi hành vi bảo mật theo mặc định.
Người quản trị có thể ghi đè thiết đặt Bắt buộc theo Mặc định để hoàn nguyên về chế độ Tương thích.
Các bản cập nhật bảo mật Windows được phát hành vào hoặc sau ngày 8 tháng 4 năm 2025, sẽ loại bỏ hỗ trợ cho các khóa phụ của sổ đăng ký PacSignatureValidationLevel và CrossDomainFilteringLevel và thực thi hành vi bảo mật mới. Sẽ không có hỗ trợ cho chế độ Tương thích sau khi cài đặt bản cập nhật này.
Các vấn đề tiềm năng và biện pháp giảm nhẹ
Có những vấn đề tiềm năng có thể phát sinh, bao gồm cả xác thực PAC và lỗi lọc chéo rừng. Bản cập nhật bảo mật ngày 9 tháng 4 năm 2024 bao gồm cài đặt đăng ký và lô-gic dự phòng để giúp giảm thiểu những sự cố này
Cài đặt đăng ký
Bản cập nhật bảo mật này được cung cấp cho các thiết bị Windows (bao gồm cả bộ kiểm soát miền). Các khóa đăng ký sau kiểm soát hành vi chỉ cần được triển khai cho máy chủ Kerberos chấp nhận xác thực Kerberos đến và thực hiện Xác thực PAC.
|
Khóa đăng ký phụ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Giá trị |
PacSignatureValidationLevel |
|
|
Kiểu Dữ liệu |
REG_DWORD |
|
|
Dữ liệu |
2 |
Mặc định (Tương thích với môi trường không được gửi) |
|
3 |
Thực hiện |
|
|
Bắt buộc khởi động lại? |
Không |
|
|
Khóa đăng ký phụ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
Giá trị |
CrossDomainFilteringLevel |
|
|
Kiểu Dữ liệu |
REG_DWORD |
|
|
Dữ liệu |
2 |
Mặc định (Tương thích với môi trường không được gửi) |
|
4 |
Thực hiện |
|
|
Bắt buộc khởi động lại? |
Không |
|
Khóa đăng ký này có thể được triển khai cho cả hai máy chủ Windows chấp nhận xác thực Kerberos đến, cũng như bất kỳ Bộ kiểm soát Miền Windows nào đang xác thực luồng Đăng nhập Phiếu Mạng mới trên đường đi.
|
Khóa đăng ký phụ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
Giá trị |
AuditKerberosTicketLogonEvents |
|
|
Kiểu Dữ liệu |
REG_DWORD |
|
|
Dữ liệu |
1 |
Mặc định – ghi nhật ký Sự kiện quan trọng |
|
2 |
Log All Netlogon Events |
|
|
0 |
Không ghi nhật ký Netlogon Events |
|
|
Bắt buộc khởi động lại? |
Không |
|
Nhật ký sự kiện
Các sự kiện kiểm tra Kerberos sau đây sẽ được tạo trên Máy chủ Kerberos chấp nhận xác thực Kerberos đến. Máy chủ Kerberos này sẽ thực hiện Xác thực PAC, sử dụng Luồng Đăng nhập Phiếu Mạng mới.
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Thông tin |
|
Nguồn Sự kiện |
Security-Kerberos |
|
ID Sự kiện |
21 |
|
Văn bản Sự kiện |
Trong quá trình Đăng nhập Phiếu Mạng Kerberos, phiếu dịch vụ cho Tài khoản <Tài khoản> từ Miền <Miền> đã thực hiện các hành động sau đây bởi Bộ kiểm soát Miền DC <>. Để biết thêm thông tin, vui lòng truy cập https://go.microsoft.com/fwlink/?linkid=2262558. |
Sự kiện này được hiển thị khi Bộ kiểm soát Miền thực hiện một hành động không gây tử vong trong quá trình Đăng nhập Phiếu Mạng. Hiện tại, các hành động sau đây đã được ghi nhật ký:
-
SIDs người dùng đã được lọc.
-
ĐÃ lọc SIM thiết bị.
-
Danh tính tổ hợp đã bị loại bỏ do việc lọc SID làm mất danh tính của thiết bị.
-
Danh tính tổ hợp đã bị loại bỏ do việc lọc SID làm mất tên miền của thiết bị.
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Lỗi |
|
Nguồn Sự kiện |
Security-Kerberos |
|
ID Sự kiện |
22 |
|
Văn bản Sự kiện |
Trong Quá trình Đăng nhập Phiếu Mạng Kerberos, phiếu dịch vụ cho Tài khoản <Tài khoản> từ Miền <Miền> đã bị DC <DC> từ chối vì những lý do dưới đây. Để biết thêm thông tin, vui lòng truy cập https://go.microsoft.com/fwlink/?linkid=2262558. |
Sự kiện này được hiển thị khi Bộ kiểm soát Miền từ chối yêu cầu Đăng nhập Vé Mạng vì những lý do được hiển thị trong sự kiện.
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo hoặc Lỗi |
|
Nguồn Sự kiện |
Security-Kerberos |
|
ID Sự kiện |
23 |
|
Văn bản Sự kiện |
Trong quá trình Đăng nhập Phiếu Mạng Kerberos, vé dịch vụ cho tài khoản <account_name> từ Miền <domain_name> không thể được chuyển tiếp đến Bộ kiểm soát Miền để phục vụ yêu cầu. Để biết thêm thông tin, vui lòng truy cập https://go.microsoft.com/fwlink/?linkid=2262558. |
-
Sự kiện này được hiển thị dưới dạng cảnh báo nếu PacSignatureValidationLevel AND CrossDomainFilteringLevel không được đặt thành Bắt buộc hoặc nghiêm ngặt hơn. Khi được ghi nhật ký như một cảnh báo, sự kiện này cho biết rằng đăng nhập vé mạng dòng liên hệ với một bộ kiểm soát miền hoặc thiết bị tương đương mà không hiểu cơ chế mới. Xác thực được phép dự phòng về hành vi trước đó.
-
Sự kiện này hiển thị dưới dạng lỗi nếu PacSignatureValidationLevel OR CrossDomainFilteringLevel được đặt thành Bắt buộc hoặc nghiêm ngặt hơn. Sự kiện này là "lỗi" cho biết rằng luồng Đăng nhập Vé Mạng đã liên hệ với bộ kiểm soát miền hoặc thiết bị tương đương không hiểu cơ chế mới. Xác thực bị từ chối và không thể dự phòng về hành vi trước đó.
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Lỗi |
|
Nguồn Sự kiện |
Netlogon |
|
ID Sự kiện |
5842 |
|
Văn bản Sự kiện |
Dịch vụ Netlogon đã gặp lỗi bất ngờ khi xử lý yêu cầu Đăng nhập Phiếu Mạng Kerberos. Để biết thêm thông tin, vui lòng truy cập https://go.microsoft.com/fwlink/?linkid=2261497. Tài khoản Phiếu Dịch vụ: <khoản> Miền Phiếu Dịch vụ: <Miền> Tên máy trạm: <tên máy> Trạng thái: <mã lỗi> |
Sự kiện này được tạo bất cứ khi nào Netlogon gặp lỗi không mong muốn trong một yêu cầu đăng nhập Vé Mạng. Sự kiện này được ghi nhật ký khi AuditKerberosTicketLogonEvents được đặt thành (1) trở lên.
|
Nhật ký Sự kiện |
Hệ thống |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Netlogon |
|
ID Sự kiện |
5843 |
|
Văn bản Sự kiện |
Dịch vụ Netlogon không chuyển tiếp được yêu cầu Đăng nhập Phiếu Mạng Kerberos đến Bộ kiểm soát Miền <DC>. Để biết thêm thông tin, vui lòng truy cập https://go.microsoft.com/fwlink/?linkid=2261497. Tài khoản Phiếu Dịch vụ: <khoản> Miền Phiếu Dịch vụ: <Miền> Tên máy trạm: <tên máy> |
Sự kiện này được tạo ra bất cứ khi nào Netlogon không thể hoàn tất đăng nhập vé mạng vì bộ kiểm soát miền không hiểu những thay đổi. Bởi vì các hạn chế trong giao thức Netlogon, các khách hàng Netlogon không thể xác định xem bộ điều khiển miền mà các khách hàng Netlogon nói chuyện trực tiếp là một trong đó không hiểu những thay đổi, hoặc cho dù nó là một bộ điều khiển miền dọc theo chuỗi chuyển tiếp mà không hiểu những thay đổi.
-
Nếu Miền Phiếu Dịch vụ giống với miền của tài khoản máy, có khả năng Bộ kiểm soát Miền trong nhật ký sự kiện không hiểu luồng đăng nhập Vé Mạng.
-
Nếu Miền Phiếu Dịch vụ khác với miền của tài khoản máy, một trong những bộ kiểm soát miền trên đường đi từ Miền của Tài khoản Máy đến Miền của Tài khoản Dịch vụ không hiểu luồng Đăng nhập Vé Mạng
Sự kiện này được tắt theo mặc định. Microsoft khuyên người dùng trước tiên nên cập nhật toàn bộ đội xe của mình trước khi bật sự kiện.
Sự kiện này được ghi nhật ký khi AuditKerberosTicketLogonEvents được đặt thành (2).
Câu hỏi Thường Gặp (Câu hỏi Thường Gặp)
Bộ kiểm soát Miền không được cập nhật sẽ không nhận ra cấu trúc yêu cầu mới này. Điều này sẽ khiến việc kiểm tra bảo mật không thành công. Trong chế độ tương thích, cấu trúc yêu cầu cũ sẽ được sử dụng. Kịch bản này vẫn dễ gặp phải CVE-2024-26248 và CVE-2024-29056.
Có. Điều này là do luồng Đăng nhập Vé Mạng mới có thể phải được định tuyến trên các miền để tiếp cận miền của tài khoản dịch vụ.
Xác thực PAC có thể bị bỏ qua trong một số trường hợp nhất định, bao gồm nhưng không giới hạn ở các trường hợp sau:
-
Nếu dịch vụ có đặc quyền TCB. Thông thường, các dịch vụ chạy trong ngữ cảnh của tài khoản HỆ THỐNG (chẳng hạn như Chia sẻ Tệp SMB hoặc máy chủ LDAP) có đặc quyền này.
-
Nếu dịch vụ được chạy từ Bộ lập lịch Nhiệm vụ.
Nếu không, Xác thực PAC được thực hiện trên tất cả các Dòng Xác thực Kerberos đến.
Các CVEs liên quan đến một địa phương nâng đặc quyền nơi một tài khoản dịch vụ độc hại hoặc bị xâm phạm chạy trên Máy trạm Windows cố gắng nâng cao đặc quyền của họ để có được quyền quản trị địa phương. Điều này có nghĩa là chỉ máy trạm Windows chấp nhận kết nối đến Kerberos Xác thực bị ảnh hưởng.
