- Kerberos drošības trūkums izraisīja tūlītēju Microsoft atbildi.
- Uzņēmums uzsāka pakāpenisku Server DC Hardening izvietošanu.
- Mēs saņemam trešo drošības atjauninājumu Otrdiena, 2022. gada 11. aprīlī.
Microsoft šodien ir izdevusi vēl vienu atgādinājumu par domēna kontrollera (DC) sacietēšanu Kerberos drošības defekta dēļ.
Kā mēs esam pārliecināti, ka atceraties, novembrī, mēneša otrajā otrdienā, Microsoft izlaida savu ielāpu otrdienas atjauninājumu.
Tāda serveriem, kas bija KB5019081, ir novērsta Windows Kerberos privilēģiju paaugstināšanas ievainojamība.
Šis trūkums faktiski ļāva apdraudētājiem mainīt privilēģiju atribūtu sertifikāta (PAC) parakstus, kas izsekots ar ID CVE-2022-37967.
Toreiz Microsoft ieteica izvietot atjauninājumu visās Windows ierīcēs, tostarp domēna kontrolleros.
Kerberos drošības trūkums izraisa Windows Server DC sacietēšanu
Lai palīdzētu izvietošanā, Redmondā bāzētais tehnoloģiju gigants publicēja norādījumus, daloties ar dažiem svarīgākajiem aspektiem.
2022. gada 8. novembra Windows atjauninājumi novērš drošības apiešanu un privilēģiju ievainojamību palielināšanu, izmantojot privilēģiju atribūtu sertifikāta (PAC) parakstus.
Faktiski šis drošības atjauninājums novērš Kerberos ievainojamības, kurās uzbrucējs var digitāli mainīt PAC parakstus, palielinot savas privilēģijas.
Lai vēl vairāk palīdzētu aizsargāt savu vidi, instalējiet šo Windows atjauninājumu visās ierīcēs, tostarp Windows domēna kontrolleros.
Lūdzu, ņemiet vērā, ka Microsoft faktiski izlaida šo atjauninājumu pakāpeniski, tāpat kā tas sākotnēji tika minēts.
Pirmā izvietošana notika novembrī, otrā bija nedaudz vairāk nekā mēnesi vēlāk. Tagad, ātri pārejot uz šodienu, Microsoft ir publicējusi šo atgādinājumu, jo trešais izvietošanas posms ir gandrīz klāt, jo tie tiks izlaisti nākamā mēneša ielāpu otrdienā 2022. gada 11. aprīlī.
Šodien tehnoloģiju gigants atgādināja mums, ka katra fāze palielina noklusējuma minimumu drošības nostiprināšanas izmaiņām CVE-2022-37967 un jūsu videi ir jābūt saderīgai pirms katras fāzes atjauninājumu instalēšanas savā domēna kontrollerī.
Ja atspējojat PAC paraksta pievienošanu, iestatot KrbtgtFullPacSignature apakšatslēgā līdz vērtībai 0, jūs vairs nevarēsit izmantot šo risinājumu pēc 2023. gada 11. aprīlī izdoto atjauninājumu instalēšanas.
Gan lietotnēm, gan videi būs jābūt vismaz saderīgām KrbtgtFullPacSignature apakšatslēga ar vērtību 1, lai instalētu šos atjauninājumus jūsu domēna kontrolleros.
Ja neizmantojat nekādus risinājumus problēmām, kas saistītas ar CVE-2022-37967 drošības nostiprināšana, iespējams, nākamajos posmos jums joprojām būs jārisina problēmas savā vidē.
Ņemot to vērā, lūdzu, atcerieties, ka mēs arī kopīgojām pieejamo informāciju par DCOM sacietēšana dažādām Windows OS versijām, tostarp serveriem.
Jūtieties brīvi dalīties ar jebkuru informāciju, kas jums ir, vai uzdodiet jebkuru jautājumu, kuru vēlaties mums uzdot, īpašajā komentāru sadaļā, kas atrodas tālāk.
