- En Kerberos-sikkerhetsfeil utløste en umiddelbar respons fra Microsoft.
- Selskapet initialiserte en trinnvis distribusjon for Server DC Hardening.
- Vi får den tredje sikkerhetsoppdateringen på Patch tirsdag 11. april 2022.
Microsoft har sendt ut en ny påminnelse i dag angående herding av domenekontroller (DC) på grunn av en Kerberos-sikkerhetsfeil.
Som vi sikkert husker, ga Microsoft ut sin Patch Tuesday-oppdatering i november, den andre tirsdagen i måneden.
Den for servere, som var KB5019081, adresserte et sikkerhetsproblem med Windows Kerberos-utvidelse av rettighet.
Denne feilen tillot faktisk trusselaktører å endre Privilege Attribute Certificate (PAC) signaturer, sporet under ID CVE-2022-37967.
Den gang anbefalte Microsoft å distribuere oppdateringen til alle Windows-enheter inkludert domenekontrollere.
Kerberos-sikkerhetsfeil utløser Windows Server DC-herding
For å hjelpe med distribusjon publiserte den Redmond-baserte teknologigiganten veiledning, som delte noen av de viktigste aspektene.
8. november 2022, Windows-oppdateringer adresserer sikkerhetsomgåelse og utvidelse av privilegier med Privilege Attribute Certificate (PAC)-signaturer.
Faktisk adresserer denne sikkerhetsoppdateringen Kerberos-sårbarheter der en angriper digitalt kan endre PAC-signaturer, og øke privilegiene.
For å ytterligere bidra til å sikre miljøet ditt, installer denne Windows-oppdateringen på alle enheter, inkludert Windows-domenekontrollere.
Vær oppmerksom på at Microsoft faktisk ga ut denne oppdateringen på en trinnvis måte, akkurat som den først nevnte den ville gjort.
Den første utplasseringen var i november, den andre var litt over en måned senere. Nå, spol frem til i dag, har Microsoft publisert denne påminnelsen da den tredje distribusjonsfasen nesten er her, da de vil bli utgitt i neste måneds Patch Tuesday 11. april 2022.
I dag er teknologigiganten påminnet oss at hver fase hever standardminimum for sikkerhetsherdingsendringene for CVE-2022-37967 og miljøet ditt må være kompatibelt før du installerer oppdateringer for hver fase på domenekontrolleren.
Hvis du deaktiverer PAC-signaturtilsetning ved å angi KrbtgtFullPacSignatur undernøkkel til en verdi på 0, vil du ikke lenger kunne bruke denne løsningen etter å ha installert oppdateringer utgitt 11. april 2023.
Både appene og miljøet må i det minste være kompatible med KrbtgtFullPacSignatur undernøkkel til en verdi på 1 for å installere disse oppdateringene på domenekontrollerne.
Hvis du ikke bruker noen løsning for problemer knyttet til CVE-2022-37967 sikkerhetsforsterkning, kan det hende du fortsatt må løse problemer i miljøet ditt i de kommende fasene.
Når det er sagt, husk at vi også delte tilgjengelig informasjon om DCOM-herding for ulike Windows OS-versjoner, inkludert servere.
Del gjerne all informasjon du har, eller still spørsmål du vil stille oss, i den dedikerte kommentarseksjonen nedenfor.
