- Chyba zabezpečení Kerberos vyvolala okamžitou reakci společnosti Microsoft.
- Společnost inicializovala postupné nasazení pro Server DC Hardening.
- Dostáváme třetí bezpečnostní aktualizaci Patch úterý 11. dubna 2022.
Společnost Microsoft dnes vydala další připomenutí týkající se posílení řadiče domény (DC) kvůli bezpečnostní chybě Kerberos.
Jak si jistě pamatujete, v listopadu, druhé úterý v měsíci, Microsoft vydal aktualizaci Patch Tuesday.
Ten pro servery, který byl KB5019081, řeší problém se zvýšením úrovně oprávnění systému Windows Kerberos.
Tato chyba ve skutečnosti umožňovala aktérům hrozeb měnit podpisy certifikátu oprávnění (PAC), sledované pod ID CVE-2022-37967.
Tehdy společnost Microsoft doporučovala nasadit aktualizaci na všechna zařízení se systémem Windows včetně řadičů domény.
Chyba zabezpečení Kerberos spouští posílení Windows Server DC
Aby pomohl s nasazením, technický gigant se sídlem v Redmondu zveřejnil pokyny, ve kterých sdílel některé z nejdůležitějších aspektů.
Aktualizace systému Windows z 8. listopadu 2022 řeší obcházení zabezpečení a zvýšení zranitelnosti oprávnění pomocí podpisů certifikátu privilegovaných atributů (PAC).
Tato aktualizace zabezpečení ve skutečnosti řeší zranitelnosti protokolu Kerberos, kdy by útočník mohl digitálně pozměnit podpisy PAC a zvýšit tak svá oprávnění.
Chcete-li dále zabezpečit své prostředí, nainstalujte tuto aktualizaci systému Windows do všech zařízení, včetně řadičů domény Windows.
Mějte prosím na paměti, že společnost Microsoft skutečně vydala tuto aktualizaci postupně, stejně jako to poprvé zmínila.
První nasazení bylo v listopadu, druhé o něco více než měsíc později. Nyní, rychle vpřed k dnešku, společnost Microsoft zveřejnila toto připomenutí, protože třetí fáze nasazení je téměř tady, protože budou vydány v úterý 11. dubna 2022 v opravném úterý.
Dnes technologický gigant připomněl že každá fáze zvyšuje výchozí minimum pro změny zabezpečení CVE-2022-37967 a vaše prostředí musí být kompatibilní před instalací aktualizací pro každou fázi do vašeho řadiče domény.
Pokud deaktivujete přidávání podpisu PAC nastavením KrbtgtFullPacSignature podklíč na hodnotu 0, po instalaci aktualizací vydaných 11. dubna 2023 již toto zástupné řešení nebudete moci používat.
Aplikace i prostředí budou muset být alespoň v souladu KrbtgtFullPacSignature podklíč na hodnotu 1 pro instalaci těchto aktualizací na vaše řadiče domény.
Pokud nepoužíváte žádné řešení pro problémy související s CVE-2022-37967 posílení zabezpečení, možná budete muset v nadcházejících fázích stále řešit problémy ve vašem prostředí.
S tím, co bylo řečeno, nezapomeňte, že jsme také sdíleli dostupné informace na Kalení DCOM pro různé verze operačního systému Windows, včetně serverů.
Neváhejte se podělit o jakékoli informace, které máte, nebo se nás zeptejte na jakoukoli otázku, na kterou se nás chcete zeptat, ve vyhrazené sekci komentářů níže.
