- Помилка безпеки Kerberos викликала негайну відповідь від Microsoft.
- Компанія розпочала поетапне розгортання Server DC Hardening.
- Ми отримуємо третє оновлення системи безпеки Патч у вівторок 11 квітня 2022 року.
Сьогодні корпорація Майкрософт випустила ще одне нагадування щодо посилення безпеки контролера домену (DC) через помилку безпеки Kerberos.
Як ми впевнені, ви пам’ятаєте, у листопаді, у другий вівторок місяця, Microsoft випустила оновлення Patch Tuesday.
Той для серверів, який був KB5019081, усунуто вразливість Windows Kerberos щодо підвищення привілеїв.
Цей недолік фактично дозволяв зловмисникам змінювати підписи сертифіката атрибутів привілеїв (PAC), які відстежуються за ідентифікатором CVE-2022-37967.
Тоді Microsoft рекомендувала розгортати оновлення на всіх пристроях Windows, включаючи контролери домену.
Помилка безпеки Kerberos викликає захист Windows Server DC
Щоб допомогти з розгортанням, технічний гігант із Редмонда опублікував інструкції, в яких поділився деякими з найважливіших аспектів.
Оновлення Windows від 8 листопада 2022 року усувають уразливості обходу безпеки та підвищення привілеїв за допомогою підписів сертифіката атрибутів привілеїв (PAC).
Насправді це оновлення безпеки усуває вразливості Kerberos, через які зловмисник може цифрово змінити підписи PAC, підвищуючи свої привілеї.
Щоб додатково захистити ваше середовище, інсталюйте це оновлення Windows на всіх пристроях, включаючи контролери домену Windows.
Майте на увазі, що корпорація Майкрософт фактично випустила це оновлення поетапно, як і зазначалося вперше.
Перше розгортання відбулося в листопаді, друге – трохи більше ніж через місяць. Тепер перемотайте вперед до сьогоднішнього дня. Microsoft опублікувала це нагадування, оскільки третій етап розгортання майже тут, оскільки вони будуть випущені у вівторок наступного місяця, 11 квітня 2022 року.
Сьогодні технічний гігант нагадав що кожна фаза підвищує мінімальний рівень за умовчанням для посилення безпеки CVE-2022-37967 і ваше середовище має бути сумісним перед встановленням оновлень для кожної фази на вашому контролері домену.
Якщо ви вимикаєте додавання підпису PAC, установивши KrbtgtFullPacSignature підключ до значення 0, ви більше не зможете використовувати цей обхідний шлях після встановлення оновлень, випущених 11 квітня 2023 року.
І програми, і середовище мають принаймні відповідати вимогам KrbtgtFullPacSignature підключ до значення 1, щоб інсталювати ці оновлення на контролерах домену.
Якщо ви не використовуєте жодного способу вирішення проблем, пов’язаних із CVE-2022-37967 посилення безпеки, можливо, вам все одно доведеться вирішити проблеми у вашому середовищі на наступних етапах.
Зважаючи на це, пам’ятайте, що ми також надали доступну інформацію про Зміцнення DCOM для різних версій ОС Windows, включаючи сервери.
Не соромтеся ділитися будь-якою інформацією, якою ви володієте, або ставити будь-які запитання, які ви хочете задати нам, у спеціальному розділі коментарів, розташованому нижче.
