- أثار ثغرة أمنية في Kerberos استجابة فورية من Microsoft.
- قامت الشركة بتهيئة نشر مرحلي لـ Server DC Hardening.
- نحصل على التحديث الأمني الثالث بتاريخ باتش الثلاثاء 11 أبريل 2022.
أصدرت Microsoft تذكيرًا آخر اليوم ، بخصوص تصلب وحدة التحكم بالمجال (DC) بسبب ثغرة أمنية في Kerberos.
كما نحن على يقين من أنك تتذكر ، في نوفمبر ، في الثلاثاء الثاني من الشهر ، أصدرت Microsoft تحديث يوم الثلاثاء من التصحيح الخاص بها.
واحد للخوادم ، والذي كان KB5019081، معالجة مشكلة عدم حصانة الامتيازات في Windows Kerberos.
سمح هذا الخلل في الواقع للجهات الفاعلة في التهديد بتغيير توقيعات شهادة سمة الامتياز (PAC) ، التي يتم تعقبها بموجب المعرف CVE-2022-37967.
في ذلك الوقت ، أوصت Microsoft بنشر التحديث على جميع أجهزة Windows بما في ذلك وحدات التحكم بالمجال.
يؤدي خطأ أمان Kerberos إلى تشغيل تصلب Windows Server DC
للمساعدة في النشر ، نشرت شركة التكنولوجيا العملاقة ومقرها ريدموند إرشادات ، وشاركت بعضًا من أهم الجوانب.
تتناول تحديثات Windows في 8 نوفمبر 2022 تجاوز الأمان ورفع نقاط ضعف الامتياز من خلال توقيعات شهادة سمة الامتياز (PAC).
في الواقع ، يعالج هذا التحديث الأمني ثغرات Kerberos حيث يمكن للمهاجم تغيير توقيعات PAC رقميًا ، مما يزيد من امتيازاتهم.
من أجل مزيد من المساعدة في تأمين بيئتك ، قم بتثبيت تحديث Windows هذا على جميع الأجهزة ، بما في ذلك وحدات التحكم في مجال Windows.
يرجى أن تضع في اعتبارك أن Microsoft أصدرت بالفعل هذا التحديث على مراحل ، تمامًا كما ذكرت لأول مرة.
كان الانتشار الأول في نوفمبر ، والثاني كان بعد أكثر من شهر بقليل. الآن ، سريعًا إلى اليوم ، نشرت Microsoft هذا التذكير نظرًا لأن مرحلة النشر الثالثة قد اقتربت تقريبًا حيث سيتم إصدارها في التصحيح الشهر المقبل الثلاثاء في 11 أبريل 2022.
اليوم ، عملاق التكنولوجيا تذكير لنا أن كل مرحلة ترفع الحد الأدنى الافتراضي لتغييرات تشديد الأمان لـ CVE-2022-37967 ويجب أن تكون بيئتك متوافقة قبل تثبيت التحديثات لكل مرحلة على وحدة تحكم المجال الخاصة بك.
إذا كنت تقوم بتعطيل إضافة توقيع PAC عن طريق تعيين KrbtgtFullPac التوقيع المفتاح الفرعي للقيمة 0 ، لن تتمكن بعد الآن من استخدام هذا الحل البديل بعد تثبيت التحديثات التي تم إصدارها في 11 أبريل 2023.
يجب أن تكون كل من التطبيقات والبيئة متوافقة على الأقل مع KrbtgtFullPac التوقيع المفتاح الفرعي للقيمة 1 لتثبيت هذه التحديثات على وحدات تحكم المجال الخاصة بك.
إذا كنت لا تستخدم أي حل بديل للمشكلات المتعلقة بـ CVE-2022-37967 تشديد الأمان ، قد لا تزال بحاجة إلى معالجة المشكلات في بيئتك للمراحل القادمة.
مع ما يقال ، يرجى تذكر أننا شاركنا أيضًا المعلومات المتاحة على تصلب DCOM لمختلف إصدارات نظام التشغيل Windows ، بما في ذلك الخوادم.
لا تتردد في مشاركة أي معلومات لديك ، أو طرح أي سؤال تريد طرحه علينا ، في قسم التعليقات المخصص الموجود أدناه.
