- Uma falha de segurança do Kerberos desencadeou uma resposta imediata da Microsoft.
- A empresa iniciou uma implantação em fases para o Server DC Hardening.
- Estamos recebendo a terceira atualização de segurança em Patch terça-feira em 11 de abril de 2022.
A Microsoft emitiu outro lembrete hoje, em relação à proteção do controlador de domínio (DC) devido a uma falha de segurança do Kerberos.
Como temos certeza de que você se lembra, em novembro, na segunda terça-feira do mês, a Microsoft lançou sua atualização Patch Tuesday.
O dos servidores, que foi KB5019081, abordou uma vulnerabilidade de elevação de privilégio do Windows Kerberos.
Essa falha realmente permitiu que os agentes de ameaças alterassem as assinaturas do Privilege Attribute Certificate (PAC), rastreadas sob ID CVE-2022-37967.
Naquela época, a Microsoft recomendava implantar a atualização em todos os dispositivos Windows, incluindo controladores de domínio.
A falha de segurança do Kerberos aciona o endurecimento do DC do Windows Server
Para ajudar na implantação, a gigante da tecnologia com sede em Redmond publicou orientações, compartilhando alguns dos aspectos mais importantes.
As atualizações do Windows de 8 de novembro de 2022 abordam o desvio de segurança e a elevação de vulnerabilidades de privilégio com assinaturas de certificado de atributo de privilégio (PAC).
Na verdade, esta atualização de segurança aborda as vulnerabilidades do Kerberos em que um invasor pode alterar digitalmente as assinaturas do PAC, aumentando seus privilégios.
Para ajudar ainda mais a proteger seu ambiente, instale esta atualização do Windows em todos os dispositivos, incluindo controladores de domínio do Windows.
Lembre-se de que a Microsoft realmente lançou esta atualização em fases, exatamente como mencionou pela primeira vez.
A primeira implantação foi em novembro, a segunda foi pouco mais de um mês depois. Agora, avançando para hoje, a Microsoft publicou este lembrete, pois a terceira fase de implantação está quase chegando, pois eles serão lançados no Patch Tuesday do próximo mês, em 11 de abril de 2022.
Hoje, a gigante da tecnologia lembrado nos que cada fase aumenta o mínimo padrão para as mudanças de proteção de segurança para CVE-2022-37967 e seu ambiente deve estar em conformidade antes de instalar atualizações para cada fase em seu controlador de domínio.
Se você estiver desabilitando a adição de assinatura PAC definindo o KrbtgtFullPacAssinatura subkey para um valor de 0, você não poderá mais usar esta solução alternativa após instalar as atualizações lançadas em 11 de abril de 2023.
Tanto os aplicativos quanto o ambiente precisarão estar pelo menos em conformidade com KrbtgtFullPacAssinatura subchave para um valor de 1 para instalar essas atualizações em seus controladores de domínio.
Se você não estiver usando nenhuma solução alternativa para problemas relacionados a CVE-2022-37967 proteção de segurança, você ainda pode precisar resolver problemas em seu ambiente para as próximas fases.
Com isso dito, lembre-se de que também compartilhamos as informações disponíveis no Endurecimento DCOM para várias versões do sistema operacional Windows, incluindo servidores.
Sinta-se à vontade para compartilhar qualquer informação que você tenha, ou fazer qualquer pergunta que queira nos fazer, na seção de comentários dedicada localizada abaixo.
