- Cacat keamanan Kerberos memicu tanggapan langsung dari Microsoft.
- Perusahaan menginisialisasi penerapan bertahap untuk Server DC Hardening.
- Kami mengaktifkan pembaruan keamanan ketiga Patch Selasa 11 April 2022.
Microsoft telah mengeluarkan pengingat lain hari ini, mengenai pengerasan pengontrol domain (DC) karena kelemahan keamanan Kerberos.
Seperti yang kami yakin Anda ingat, pada bulan November, pada hari Selasa kedua setiap bulan, Microsoft merilis pembaruan Patch Tuesday.
Yang untuk server, yaitu KB5019081, mengatasi peningkatan kerentanan hak istimewa Windows Kerberos.
Cacat ini sebenarnya memungkinkan pelaku ancaman untuk mengubah tanda tangan Privilege Attribute Certificate (PAC), yang dilacak di bawah ID CVE-2022-37967.
Saat itu, Microsoft merekomendasikan untuk menyebarkan pembaruan ke semua perangkat Windows termasuk pengontrol domain.
Cacat keamanan Kerberos memicu pengerasan Windows Server DC
Untuk membantu penyebaran, raksasa teknologi yang berbasis di Redmond menerbitkan panduan, berbagi beberapa aspek terpenting.
8 November 2022, pembaruan Windows mengatasi bypass keamanan dan peningkatan kerentanan hak istimewa dengan tanda tangan Privilege Attribute Certificate (PAC).
Faktanya, pembaruan keamanan ini mengatasi kerentanan Kerberos di mana penyerang dapat mengubah tanda tangan PAC secara digital, meningkatkan hak istimewa mereka.
Untuk lebih membantu mengamankan lingkungan Anda, instal pembaruan Windows ini di semua perangkat, termasuk pengontrol domain Windows.
Harap diingat bahwa Microsoft benar-benar merilis pembaruan ini secara bertahap, seperti yang disebutkan pertama kali.
Penempatan pertama pada bulan November, yang kedua lebih dari sebulan kemudian. Sekarang, maju cepat hingga hari ini, Microsoft telah menerbitkan pengingat ini karena fase penerapan ketiga hampir tiba karena akan dirilis di Patch Tuesday bulan depan pada 11 April 2022.
Hari ini, raksasa teknologi mengingatkan kami bahwa setiap fase meningkatkan minimum default untuk perubahan pengerasan keamanan CVE-2022-37967 dan lingkungan Anda harus patuh sebelum menginstal pembaruan untuk setiap fase ke Pengontrol Domain Anda.
Jika Anda menonaktifkan penambahan tanda tangan PAC dengan menyetel KrbtgtFullPacSignature subkunci ke nilai 0, Anda tidak dapat lagi menggunakan solusi ini setelah menginstal pembaruan yang dirilis 11 April 2023.
Baik aplikasi dan lingkungan setidaknya harus mematuhi KrbtgtFullPacSignature subkunci ke nilai 1 untuk menginstal pembaruan ini di Pengontrol Domain Anda.
Jika Anda tidak menggunakan solusi apa pun untuk masalah yang terkait dengan CVE-2022-37967 pengerasan keamanan, Anda mungkin masih perlu mengatasi masalah di lingkungan Anda untuk fase mendatang.
Karena itu, harap diingat bahwa kami juga membagikan informasi yang tersedia di Pengerasan DCOM untuk berbagai versi OS Windows, termasuk server.
Jangan ragu untuk membagikan informasi apa pun yang Anda miliki, atau ajukan pertanyaan apa pun yang ingin Anda tanyakan kepada kami, di bagian komentar khusus yang terletak di bawah.
