- ข้อบกพร่องด้านความปลอดภัย Kerberos ทำให้เกิดการตอบสนองทันทีจาก Microsoft
- บริษัทได้เริ่มต้นการปรับใช้เป็นระยะสำหรับ Server DC Hardening
- เรากำลังได้รับการอัพเดทความปลอดภัยครั้งที่สาม แพทช์วันอังคารที่ 11 เมษายน 2022
Microsoft ได้ออกคำเตือนอีกครั้งในวันนี้ เกี่ยวกับการแข็งตัวของตัวควบคุมโดเมน (DC) เนื่องจากข้อบกพร่องด้านความปลอดภัยของ Kerberos
อย่างที่เรามั่นใจว่าคุณจำได้ เมื่อย้อนกลับไปในเดือนพฤศจิกายน ในวันอังคารที่สองของเดือน Microsoft ได้เปิดตัวการอัปเดต Patch Tuesday
หนึ่งสำหรับเซิร์ฟเวอร์ซึ่งก็คือ KB5019081แก้ไขการยกระดับ Windows Kerberos ของช่องโหว่สิทธิ์
ข้อบกพร่องนี้อนุญาตให้ผู้คุกคามแก้ไขลายเซ็น Privilege Attribute Certificate (PAC) ซึ่งติดตามภายใต้ ID CVE-2022-37967.
ในตอนนั้น Microsoft แนะนำให้ปรับใช้การอัปเดตกับอุปกรณ์ Windows ทั้งหมดรวมถึงตัวควบคุมโดเมน
ข้อบกพร่องด้านความปลอดภัย Kerberos ทำให้ Windows Server DC แข็งตัว
เพื่อช่วยในการปรับใช้ ยักษ์ใหญ่ด้านเทคโนโลยีใน Redmond ได้เผยแพร่คำแนะนำโดยแบ่งปันแง่มุมที่สำคัญที่สุดบางประการ
ในวันที่ 8 พฤศจิกายน 2022 Windows จะอัปเดตการเลี่ยงผ่านความปลอดภัยและการยกระดับช่องโหว่ของสิทธิ์ด้วยลายเซ็น Privilege Attribute Certificate (PAC)
อันที่จริงแล้ว การอัปเดตความปลอดภัยนี้แก้ไขช่องโหว่ของ Kerberos ซึ่งผู้โจมตีสามารถแก้ไขลายเซ็น PAC แบบดิจิทัลได้ และเพิ่มสิทธิ์ของพวกเขา
เพื่อช่วยรักษาความปลอดภัยสภาพแวดล้อมของคุณเพิ่มเติม ให้ติดตั้งการอัปเดต Windows นี้บนอุปกรณ์ทั้งหมด รวมถึงตัวควบคุมโดเมน Windows
โปรดทราบว่า Microsoft ได้เผยแพร่การปรับปรุงนี้จริง ๆ เป็นระยะ ๆ เช่นเดียวกับที่กล่าวไว้ในตอนแรก
การติดตั้งใช้งานครั้งแรกคือในเดือนพฤศจิกายน ส่วนครั้งที่สองใช้เวลาเพียงหนึ่งเดือนต่อมา ตอนนี้ ก้าวไปข้างหน้าอย่างเร็วจนถึงวันนี้ Microsoft ได้เผยแพร่การแจ้งเตือนนี้เนื่องจากระยะการปรับใช้ที่สามใกล้จะมาถึงแล้ว เนื่องจากจะมีการเผยแพร่ใน Patch Tuesday ของเดือนหน้าในวันที่ 11 เมษายน 2022
วันนี้ยักษ์ใหญ่ด้านเทคโนโลยี เตือน เราว่าแต่ละเฟสจะเพิ่มค่าเริ่มต้นขั้นต่ำสำหรับการเปลี่ยนแปลงการเสริมความปลอดภัย CVE-2022-37967 และสภาพแวดล้อมของคุณต้องเป็นไปตามข้อกำหนดก่อนที่จะติดตั้งการอัปเดตสำหรับแต่ละเฟสลงในตัวควบคุมโดเมนของคุณ
หากคุณปิดใช้งานการเพิ่มลายเซ็น PAC โดยการตั้งค่า KrbtgtFullPacSignature คีย์ย่อยเป็นค่า 0 คุณจะไม่สามารถใช้วิธีแก้ปัญหานี้ได้อีกต่อไปหลังจากติดตั้งการอัปเดตที่เผยแพร่ในวันที่ 11 เมษายน 2023
อย่างน้อยทั้งแอปและสภาพแวดล้อมจะต้องเป็นไปตามข้อกำหนด KrbtgtFullPacSignature คีย์ย่อยเป็นค่า 1 เพื่อติดตั้งการอัปเดตเหล่านี้บนตัวควบคุมโดเมนของคุณ
หากคุณไม่ได้ใช้วิธีแก้ปัญหาสำหรับปัญหาที่เกี่ยวข้องกับ CVE-2022-37967 การเสริมความปลอดภัย คุณอาจต้องแก้ไขปัญหาในสภาพแวดล้อมของคุณสำหรับระยะต่อๆ ไป
จากที่กล่าวมา โปรดจำไว้ว่าเราได้แบ่งปันข้อมูลที่มีอยู่เกี่ยวกับ การชุบแข็ง DCOM สำหรับ Windows OS เวอร์ชันต่างๆ รวมถึงเซิร์ฟเวอร์
อย่าลังเลที่จะแบ่งปันข้อมูลใด ๆ ที่คุณมีหรือถามคำถามใด ๆ ที่คุณต้องการถามเราในส่วนความคิดเห็นเฉพาะที่อยู่ด้านล่าง
