- Une faille de sécurité Kerberos a déclenché une réponse immédiate de Microsoft.
- La société a initialisé un déploiement par étapes pour Server DC Hardening.
- Nous recevons la troisième mise à jour de sécurité sur Patch mardi le 11 avril 2022.
Microsoft a publié un autre rappel aujourd'hui concernant le renforcement du contrôleur de domaine (DC) en raison d'une faille de sécurité Kerberos.
Comme vous vous en souvenez sûrement, en novembre, le deuxième mardi du mois, Microsoft a publié sa mise à jour Patch Tuesday.
Celui des serveurs, qui était KB5019081, a corrigé une vulnérabilité d'élévation des privilèges Windows Kerberos.
Cette faille a en fait permis aux acteurs de la menace de modifier les signatures du certificat d'attribut de privilège (PAC), suivi sous ID CVE-2022-37967.
À l'époque, Microsoft recommandait de déployer la mise à jour sur tous les appareils Windows, y compris les contrôleurs de domaine.
Une faille de sécurité Kerberos déclenche le renforcement de Windows Server DC
Pour aider au déploiement, le géant de la technologie basé à Redmond a publié des conseils, partageant certains des aspects les plus importants.
Les mises à jour Windows du 8 novembre 2022 corrigent les vulnérabilités de contournement de sécurité et d'élévation des privilèges avec les signatures PAC (Privilege Attribute Certificate).
En fait, cette mise à jour de sécurité corrige les vulnérabilités de Kerberos où un attaquant pourrait modifier numériquement les signatures PAC, augmentant ainsi ses privilèges.
Afin de mieux sécuriser votre environnement, installez cette mise à jour Windows sur tous les appareils, y compris les contrôleurs de domaine Windows.
Veuillez garder à l'esprit que Microsoft a en fait publié cette mise à jour de manière progressive, comme il l'avait mentionné pour la première fois.
Le premier déploiement a eu lieu en novembre, le second un peu plus d'un mois plus tard. Maintenant, avance rapide jusqu'à aujourd'hui, Microsoft a publié ce rappel car la troisième phase de déploiement est presque là car ils seront publiés dans le patch du mois prochain le 11 avril 2022.
Aujourd'hui, le géant de la technologie rappelé nous que chaque phase augmente le minimum par défaut pour les changements de renforcement de la sécurité pour CVE-2022-37967 et votre environnement doit être conforme avant d'installer les mises à jour pour chaque phase sur votre contrôleur de domaine.
Si vous désactivez l'ajout de signature PAC en définissant le KrbtgtFullPacSignature sous-clé à une valeur de 0, vous ne pourrez plus utiliser cette solution de contournement après l'installation des mises à jour publiées le 11 avril 2023.
Les applications et l'environnement devront au moins être conformes à KrbtgtFullPacSignature subkey à une valeur de 1 pour installer ces mises à jour sur vos contrôleurs de domaine.
Si vous n'utilisez aucune solution de contournement pour les problèmes liés à CVE-2022-37967 renforcement de la sécurité, vous devrez peut-être encore résoudre des problèmes dans votre environnement pour les phases à venir.
Cela étant dit, n'oubliez pas que nous avons également partagé les informations disponibles sur le Durcissement DCOM pour différentes versions du système d'exploitation Windows, y compris les serveurs.
N'hésitez pas à partager toute information dont vous disposez, ou à poser toute question que vous souhaitez nous poser, dans la section dédiée aux commentaires située ci-dessous.
