摘要
2024 年 4 月 9 日或之后发布的 Windows 安全更新使用 Kerberos PAC 验证协议解决了特权提升漏洞。 特权属性证书 (PAC) 是 Kerberos 服务票证的扩展。 它包含有关对用户进行身份验证及其权限的信息。 此更新修复了一个漏洞,在该漏洞中,进程的用户可以欺骗签名以绕过 KB5020805:如何管理与 CVE-2022-37967 相关的 Kerberos 协议更改中添加的 PAC 签名验证安全检查。
若要了解有关这些漏洞的详细信息,请访问 CVE-2024-26248 和 CVE-2024-29056。
采取操作
重要说明默认情况下,安装 2024 年 4 月 9 日或之后发布的更新的步骤 1 不会完全解决 CVE-2024-26248 和 CVE-2024-29056 中的安全问题。 若要完全缓解所有设备的安全问题,必须在环境完全更新后, (步骤 3) 中所述,切换到强制模式。
为了帮助保护环境并防止中断,我们建议执行以下步骤:
-
更新: Windows 域控制器和 Windows 客户端必须在 2024 年 4 月 9 日或之后使用 Windows 安全更新进行更新。
-
监控: 审核事件将在 兼容 模式下可见,以识别未更新的设备。
-
使: 在你的环境中完全启用强制 模式后, CVE-2024-26248 和 CVE-2024-29056 中描述的漏洞将得到缓解。
背景
当 Windows 工作站对入站 Kerberos 身份验证流执行 PAC 验证时,它会 (网络票证登录) 执行新请求来验证服务票证。 请求最初通过 Netlogon 转发到工作站域的域控制器 (DC) 。
如果服务帐户和计算机帐户属于不同的域,则请求通过 Netlogon 通过必要的信任传递,直到它到达服务域;否则,计算机帐户域中的 DC 执行验证。 然后,DC 调用密钥分发中心 (KDC) 来验证服务票证的 PAC 签名,并将用户和设备信息发送回工作站。
如果在服务帐户和工作站帐户属于不同域) 的情况下,跨信任 (转发请求和答复,则信任中的每个 DC 都会筛选与之相关的授权数据。
更改时间线
汇报如下发布。 请注意,此发布计划可能会根据需要进行修改。
初始部署阶段从 2024 年 4 月 9 日发布的更新开始。 此更新添加了防止 CVE-2024-26248 和 CVE-2024-29056 中描述的特权提升漏洞的新行为,但不会强制实施该漏洞,除非同时更新环境中的 Windows 域控制器和 Windows 客户端。
若要启用新行为并缓解漏洞,必须确保更新整个 Windows 环境 (包括域控制器和客户端) 。 将记录审核事件以帮助识别未更新的设备。
汇报在 2024 年 10 月 15 日或之后发布,通过将注册表子项设置更改为 PacSignatureValidationLevel=3 和 CrossDomainFilteringLevel=4,将环境中的所有 Windows 域控制器和客户端移动到强制实施模式,从而默认强制实施安全行为。
管理员可重写“强制实施”设置,以还原兼容模式。
2025 年 4 月 8 日或之后发布的 Windows 安全更新将删除对注册表子项 PacSignatureValidationLevel 和 CrossDomainFilteringLevel 的支持,并强制实施新的安全行为。 安装此更新后,将不支持 兼容 模式。
潜在问题和缓解措施
可能会出现一些潜在问题,包括 PAC 验证和跨林筛选失败。 2024 年 4 月 9 日安全更新包括回退逻辑和注册表设置,以帮助缓解这些问题
注册表设置
此安全更新提供给 Windows 设备, (包括域控制器) 。 以下控制行为的注册表项只需部署到接受入站 Kerberos 身份验证并执行 PAC 验证的 Kerberos 服务器。
|
注册表子项 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
值 |
PacSignatureValidationLevel |
|
|
数据类型 |
REG_DWORD |
|
|
数据 |
2 |
默认 (与未修补环境) 的兼容性 |
|
3 |
强制 |
|
|
需要重启? |
否 |
|
|
注册表子项 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
值 |
CrossDomainFilteringLevel |
|
|
数据类型 |
REG_DWORD |
|
|
数据 |
2 |
默认 (与未修补环境) 的兼容性 |
|
4 |
强制 |
|
|
需要重启? |
否 |
|
此注册表项可以部署到接受入站 Kerberos 身份验证的 Windows 服务器,以及在此过程中验证新网络票证登录流的任何 Windows 域控制器。
|
注册表子项 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
值 |
AuditKerberosTicketLogonEvents |
|
|
数据类型 |
REG_DWORD |
|
|
数据 |
1 |
默认值 - 记录严重事件 |
|
2 |
记录所有 Netlogon 事件 |
|
|
0 |
不记录 Netlogon 事件 |
|
|
需要重启? |
否 |
|
事件日志
以下 Kerberos 审核事件将在接受入站 Kerberos 身份验证的 Kerberos 服务器上生成。 此 Kerberos 服务器将执行 PAC 验证,该验证使用新的网络票证登录流。
|
事件日志 |
系统警报 |
|
事件类型 |
信息 |
|
事件源 |
Security-Kerberos |
|
事件 ID |
21 |
|
事件文本 |
在 Kerberos 网络票证登录期间,来自域 <域的帐户 <帐户>> 的服务票证由 DC <域控制器> 执行以下操作。 有关详细信息,请访问 https://go.microsoft.com/fwlink/?linkid=2262558。 |
当域控制器在网络票证登录流期间执行非致命操作时,会显示此事件。 到目前为止,将记录以下操作:
-
已筛选用户 SID。
-
已筛选设备 SID。
-
由于 SID 筛选不允许设备标识,因此删除了复合标识。
-
由于 SID 筛选不允许设备的域名,因此删除了复合标识。
|
事件日志 |
系统警报 |
|
事件类型 |
错误 |
|
事件源 |
Security-Kerberos |
|
事件 ID |
22 |
|
事件文本 |
在 Kerberos 网络票证登录期间,由于以下原因,DC <DC> 拒绝了从域 <域> <帐户> 的服务票证。 有关详细信息,请访问 https://go.microsoft.com/fwlink/?linkid=2262558。 |
当域控制器出于事件中显示的原因拒绝网络票证登录请求时,将显示此事件。
|
事件日志 |
系统警报 |
|
事件类型 |
警告或错误 |
|
事件源 |
Security-Kerberos |
|
事件 ID |
23 |
|
事件文本 |
在 Kerberos 网络票证登录期间,无法将来自域 <domain_name> 的帐户 <account_name> 的服务票证转发到域控制器来为请求提供服务。 有关详细信息,请访问 https://go.microsoft.com/fwlink/?linkid=2262558。 |
-
如果未将 PacSignatureValidationLevel AND CrossDomainFilteringLevel 设置为 “强制”或“更严格”,则此事件会显示为警告。 当记录为警告时,该事件指示网络票证登录流联系了不了解新机制的域控制器或等效设备。 允许身份验证回退到以前的行为。
-
如果 PacSignatureValidationLevel OR CrossDomainFilteringLevel 设置为 “强制实施 或更严格”,则此事件显示为错误。 此事件为“错误”表示网络票证登录流联系了不了解新机制的域控制器或等效设备。 身份验证被拒绝,无法回退到以前的行为。
|
事件日志 |
系统警报 |
|
事件类型 |
错误 |
|
事件源 |
Netlogon |
|
事件 ID |
5842 |
|
事件文本 |
Netlogon 服务在处理 Kerberos 网络票证登录请求时遇到意外错误。 有关详细信息,请访问 https://go.microsoft.com/fwlink/?linkid=2261497。 服务票证帐户:<帐户> 服务票证域:<域> 工作站名称:<计算机名称> 状态:<错误代码> |
每当 Netlogon 在网络票证登录请求期间遇到意外错误时,都会生成此事件。 当 AuditKerberosTicketLogonEvents 设置为 (1) 或更高时,将记录此事件。
|
事件日志 |
系统警报 |
|
事件类型 |
警告 |
|
事件源 |
Netlogon |
|
事件 ID |
5843 |
|
事件文本 |
Netlogon 服务无法将 Kerberos 网络票证登录请求转发到域控制器 <DC>。 有关详细信息,请访问 https://go.microsoft.com/fwlink/?linkid=2261497。 服务票证帐户:<帐户> 服务票证域:<域> 工作站名称:<计算机名称> |
每当 Netlogon 由于域控制器不了解更改而无法完成网络票证登录时,都会生成此事件。 由于 Netlogon 协议中的限制,Netlogon 客户端无法确定 Netlogon 客户端直接与之通信的域控制器是否是不了解更改的域控制器,或者它是否是转发链上不了解更改的域控制器。
-
如果服务票证域与计算机帐户的域相同,则可能是事件日志中的域控制器不了解网络票证登录流。
-
如果服务票证域不同于计算机帐户的域,则从计算机帐户的域到服务帐户的域过程中,其中一个域控制器不了解网络票证登录流
此事件默认处于关闭状态。 Microsoft 建议用户在打开事件之前先更新其整个机群。
当 AuditKerberosTicketLogonEvents 设置为 (2) 时,将记录此事件。
常见问题解答 (FAQ)
未更新的域控制器将无法识别此新请求结构。 这将导致安全检查失败。 在兼容模式下,将使用旧的请求结构。 此方案仍容易受到 CVE-2024-26248 和 CVE-2024-29056 影响。
是的。 这是因为新的网络票证登录流可能需要跨域路由才能访问服务帐户的域。
在某些情况下,可能会跳过 PAC 验证,包括但不限于以下方案:
-
如果服务具有 TCB 权限。 通常,在 SYSTEM 帐户上下文中运行的服务 ((如 SMB 文件共享或 LDAP 服务器)) 具有此权限。
-
如果服务是从任务计划程序运行的。
否则,将对所有入站 Kerberos 身份验证流执行 PAC 验证。
这些 CVE 涉及本地特权提升,其中 Windows 工作站上运行的恶意服务帐户或遭到入侵的服务帐户会尝试提升其特权以获取本地管理权限。 这意味着,仅接受入站 Kerberos 身份验证的 Windows 工作站会受到影响。
