- Kerberos-ის უსაფრთხოების ხარვეზმა გამოიწვია მყისიერი პასუხი Microsoft-ისგან.
- კომპანიამ მოახდინა ეტაპობრივი განლაგება სერვერის DC გამკვრივებისთვის.
- ჩვენ ვიღებთ უსაფრთხოების მესამე განახლებას პატჩი სამშაბათს 2022 წლის 11 აპრილს.
მაიკროსოფტმა დღეს კიდევ ერთი შეხსენება გამოსცა, დომენის კონტროლერის (DC) გამკვრივების შესახებ Kerberos უსაფრთხოების ხარვეზის გამო.
როგორც დარწმუნებული ვართ, გახსოვთ, ჯერ კიდევ ნოემბერში, თვის მეორე სამშაბათს, Microsoft-მა გამოუშვა Patch Tuesday განახლება.
ერთი სერვერებისთვის, რომელიც იყო KB5019081, მიმართა Windows Kerberos-ის პრივილეგიების დაუცველობის ამაღლებას.
ეს ხარვეზი რეალურად საშუალებას აძლევდა საფრთხის მონაწილეებს შეცვალონ პრივილეგიის ატრიბუტის სერტიფიკატის (PAC) ხელმოწერები, რომლებიც თვალყურს ადევნებენ ID-ს ქვეშ. CVE-2022-37967.
მაშინ Microsoft-მა რეკომენდაცია გაუწია განახლების განთავსებას Windows-ის ყველა მოწყობილობაზე, დომენის კონტროლერების ჩათვლით.
Kerberos უსაფრთხოების ხარვეზი იწვევს Windows Server DC გამკვრივებას
განლაგების დასახმარებლად, რედმონდზე დაფუძნებულმა ტექნიკურმა გიგანტმა გამოაქვეყნა სახელმძღვანელო მითითებები, რომლებიც აზიარებს ზოგიერთ ყველაზე მნიშვნელოვან ასპექტს.
2022 წლის 8 ნოემბრის Windows-ის განახლებები ეხება უსაფრთხოების გვერდის ავლას და პრივილეგიების მოწყვლადობის ამაღლებას პრივილეგიის ატრიბუტის სერტიფიკატის (PAC) ხელმოწერებით.
სინამდვილეში, უსაფრთხოების ეს განახლება ეხება Kerberos-ის დაუცველობას, სადაც თავდამსხმელს შეუძლია ციფრულად შეცვალოს PAC ხელმოწერები, ამაღლებს მათ პრივილეგიებს.
თქვენი გარემოს დაცვის შემდგომი დასახმარებლად, დააინსტალირეთ Windows-ის ეს განახლება ყველა მოწყობილობაზე, მათ შორის Windows დომენის კონტროლერებზე.
გთხოვთ გაითვალისწინოთ, რომ მაიკროსოფტმა რეალურად გამოუშვა ეს განახლება ეტაპობრივად, ისევე, როგორც მან პირველად აღნიშნა.
პირველი განლაგება იყო ნოემბერში, მეორე კი მხოლოდ ერთი თვის შემდეგ. ახლა, დღესდღეობით, Microsoft-მა გამოაქვეყნა ეს შეხსენება, რადგან დანერგვის მესამე ეტაპი თითქმის აქ არის, რადგან ისინი გამოვა მომდევნო თვის Patch სამშაბათს, 2022 წლის 11 აპრილს.
დღეს, ტექნიკური გიგანტი შეახსენა ჩვენ, რომ თითოეული ფაზა ზრდის უსაფრთხოების გამკვრივების ცვლილებების ნაგულისხმევ მინიმუმს CVE-2022-37967 და თქვენი გარემო უნდა შეესაბამებოდეს თქვენს Domain Controller-ზე თითოეული ფაზის განახლებების დაყენებამდე.
თუ თქვენ გამორთავთ PAC ხელმოწერის დამატებას დაყენებით KrbtgtFullPacSignature 0 მნიშვნელობის ქვეგასაღები, თქვენ ვეღარ შეძლებთ ამ გამოსავლის გამოყენებას 2023 წლის 11 აპრილს გამოშვებული განახლებების დაყენების შემდეგ.
როგორც აპლიკაციებს, ასევე გარემოს მინიმუმ უნდა შეესაბამებოდეს KrbtgtFullPacSignature 1-ის მნიშვნელობის ქვეკლავი ამ განახლებების დასაყენებლად თქვენს დომენის კონტროლერებზე.
თუ თქვენ არ იყენებთ რაიმე გამოსავალს მასთან დაკავშირებული საკითხებისთვის CVE-2022-37967 უსაფრთხოების გაძლიერება, შესაძლოა დაგჭირდეთ თქვენს გარემოში არსებული საკითხების მოგვარება მომდევნო ფაზებისთვის.
ამასთან დაკავშირებით, გახსოვდეთ, რომ ჩვენ ასევე გავუზიარეთ ხელმისაწვდომი ინფორმაცია DCOM გამკვრივება Windows OS-ის სხვადასხვა ვერსიებისთვის, სერვერების ჩათვლით.
მოგერიდებათ გააზიაროთ ნებისმიერი ინფორმაცია, რომელიც გაქვთ, ან დასვით ნებისმიერი შეკითხვა, რომელიც გსურთ დაგვისვათ, ქვემოთ განთავსებულ კომენტარების განყოფილებაში.
