- Ett säkerhetsfel i Kerberos utlöste ett omedelbart svar från Microsoft.
- Företaget initierade en stegvis distribution för Server DC Hardening.
- Vi får den tredje säkerhetsuppdateringen på Patch tisdag den 11 april 2022.
Microsoft har utfärdat ytterligare en påminnelse idag, angående härdning av domänkontrollanter (DC) på grund av ett säkerhetsfel i Kerberos.
Som vi säkert kommer ihåg släppte Microsoft sin Patch Tuesday-uppdatering i november, den andra tisdagen i månaden.
Den för servrar, som var KB5019081, åtgärdade en sårbarhet i Windows Kerberos förhöjning av behörighet.
Denna brist gjorde det faktiskt möjligt för hotaktörer att ändra PAC-signaturer (Privilege Attribute Certificate), spårade under ID CVE-2022-37967.
Då rekommenderade Microsoft att distribuera uppdateringen till alla Windows-enheter inklusive domänkontrollanter.
Kerberos säkerhetsbrist utlöser Windows Server DC-härdning
För att hjälpa till med implementeringen publicerade den Redmond-baserade teknikjätten vägledning som delade några av de viktigaste aspekterna.
Windows-uppdateringarna den 8 november 2022 adresserar säkerhetsbrister och privilegierade sårbarheter med PAC-signaturer (Privilege Attribute Certificate).
Faktum är att den här säkerhetsuppdateringen åtgärdar Kerberos-sårbarheter där en angripare digitalt kan ändra PAC-signaturer, vilket höjer sina privilegier.
För att ytterligare hjälpa till att säkra din miljö, installera denna Windows-uppdatering på alla enheter, inklusive Windows-domänkontrollanter.
Kom ihåg att Microsoft faktiskt släppte den här uppdateringen i etapper, precis som det först nämnde att det skulle göra.
Den första utplaceringen var i november, den andra var drygt en månad senare. Nu, snabbspola fram till idag, har Microsoft publicerat denna påminnelse eftersom den tredje implementeringsfasen nästan är här eftersom de kommer att släppas i nästa månads Patch Tuesday den 11 april 2022.
Idag är teknikjätten påminde oss att varje fas höjer standardminimum för säkerhetshärdningsändringarna för CVE-2022-37967 och din miljö måste vara kompatibel innan du installerar uppdateringar för varje fas på din domänkontrollant.
Om du inaktiverar PAC-signaturtillägg genom att ställa in KrbtgtFullPacSignature undernyckel till värdet 0, kommer du inte längre att kunna använda den här lösningen efter installation av uppdateringar som släpptes den 11 april 2023.
Både apparna och miljön måste åtminstone vara kompatibla med KrbtgtFullPacSignature undernyckel till värdet 1 för att installera dessa uppdateringar på dina domänkontrollanter.
Om du inte använder någon lösning för problem relaterade till CVE-2022-37967 säkerhetshärdning kan du fortfarande behöva ta itu med problem i din miljö under de kommande faserna.
Med det sagt, kom ihåg att vi också delade tillgänglig information om DCOM-härdning för olika Windows OS-versioner, inklusive servrar.
Dela gärna med dig av all information du har, eller ställ någon fråga du vill ställa till oss, i den dedikerade kommentarsektionen nedan.
