- Dėl Kerberos saugos trūkumo Microsoft nedelsiant sureagavo.
- Bendrovė inicijavo laipsnišką Server DC Hardening diegimą.
- Gauname trečiąjį saugos naujinimą Antradienis, 2022 m. balandžio 11 d.
„Microsoft“ šiandien paskelbė dar vieną priminimą dėl domeno valdiklio (DC) sukietėjimo dėl „Kerberos“ saugos trūkumo.
Kaip esame tikri, kad prisimenate, lapkritį, antrą mėnesio antradienį, „Microsoft“ išleido „Patch Tuesday“ naujinimą.
Serveriams skirtas, kuris buvo KB5019081, pašalino „Windows Kerberos“ privilegijų padidinimo pažeidžiamumą.
Šis trūkumas iš tikrųjų leido grėsmės veikėjams pakeisti privilegijų atributo sertifikato (PAC) parašus, stebimus pagal ID CVE-2022-37967.
Tada „Microsoft“ rekomendavo įdiegti naujinimą visuose „Windows“ įrenginiuose, įskaitant domeno valdiklius.
„Kerberos“ saugos trūkumas suaktyvina „Windows Server DC“ sukietėjimą
Kad padėtų diegti, Redmonde įsikūrusi technologijų milžinė paskelbė gaires, kuriose pasidalino kai kuriais svarbiausiais aspektais.
2022 m. lapkričio 8 d. „Windows“ naujinimai pašalina saugos problemas ir padidina privilegijų pažeidžiamumą naudojant privilegijų atributo sertifikato (PAC) parašus.
Tiesą sakant, šis saugos naujinimas pašalina Kerberos spragas, dėl kurių užpuolikas gali skaitmeniniu būdu pakeisti PAC parašus, padidindamas savo privilegijas.
Norėdami dar labiau apsaugoti aplinką, įdiekite šį Windows naujinimą visuose įrenginiuose, įskaitant Windows domeno valdiklius.
Atminkite, kad „Microsoft“ šį naujinimą išleido laipsniškai, kaip ir pirmą kartą minėjo.
Pirmasis dislokavimas įvyko lapkritį, antrasis – kiek daugiau nei po mėnesio. Šiandien, greitai, „Microsoft“ paskelbė šį priminimą, nes trečiasis diegimo etapas jau beveik čia pat, nes jie bus išleisti kito mėnesio pataisų antradienį 2022 m. balandžio 11 d.
Šiandien technologijų milžinas priminė mums, kad kiekviena fazė padidina numatytąjį minimumą saugumo sugriežtinimo pakeitimams CVE-2022-37967 ir jūsų aplinka turi būti suderinama prieš diegiant kiekvienos fazės naujinimus domeno valdiklyje.
Jei išjungiate PAC parašo papildymą, nustatydami KrbtgtFullPacSignature dalinį raktą iki 0, nebegalėsite naudoti šio sprendimo įdiegę naujinimus, išleistus 2023 m. balandžio 11 d.
Ir programos, ir aplinka turės bent jau atitikti KrbtgtFullPacSignature dalinį raktą iki vertės 1, kad įdiegtumėte šiuos naujinimus savo domeno valdikliuose.
Jei nenaudojate jokių problemų, susijusių su CVE-2022-37967 saugumas, jums vis tiek gali tekti spręsti savo aplinkos problemas ateinančiais etapais.
Tai pasakius, atminkite, kad taip pat pasidalinome turima informacija apie DCOM grūdinimas įvairioms Windows OS versijoms, įskaitant serverius.
Nesivaržykite pasidalinti bet kokia turima informacija arba užduoti bet kokį klausimą, kurį norite mums užduoti, toliau esančiame specialiame komentarų skyriuje.
