Microsoft напоминает о третьей фазе усиления Windows DC из-за уязвимости в безопасности Kerberos

  • Категория: Microsoft
  • Дата: 28-03-2023, 20:33
  • Просмотров: 1 191

Сегодня Microsoft выпустила напоминание об усилении контроллера домена (DC) из-за уязвимости в безопасности Kerberos.

Еще в ноябре Microsoft выпустила обновление в рамках Patch Tuesday. Обновление для серверов (KB5019081) исправляет уязвимость повышения привилегий в Windows Kerberos, которая позволяла злоумышленникам изменять подписи Privilege Attribute Certificate (PAC) (CVE-2022-37967). Microsoft рекомендовала развернуть обновление на всех устройствах Windows, включая контроллеры домена.

Чтобы помочь с развертыванием, Microsoft опубликовала руководство. Компания резюмировала суть дела следующим образом:

Обновления Windows от 8 ноября 2022 года исправляют уязвимости обхода безопасности и повышения привилегий с помощью подписей Privilege Attribute Certificate (PAC). Это обновление безопасности исправляет уязвимости Kerberos, из-за которых злоумышленник может в цифровой форме изменить подписи PAC, повысив свои привилегии.

Чтобы защитить свою среду, установите это обновление Windows на все устройства, включая контроллеры домена Windows.


Microsoft начала выпускать это обновление поэтапно. Первое развертывание состоялось в ноябре, второе - чуть больше месяца спустя. Сегодня компания Microsoft опубликовала это напоминание, поскольку третий этап развертывания уже близок, так как обновление будет выпущено в рамках Patch Tuesday в следующем месяце, 11 апреля 2022 года.

В нем объясняется:

Изменения по усилению безопасности, необходимые на контроллерах домена в ИТ-средах для исправления CVE-2022-37967, войдут в третью фазу развертывания с выпуском обновлений 11 апреля 2023 года, как указано в KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967. На каждом этапе повышается минимальный уровень по умолчанию для изменений усиления безопасности для CVE-2022-37967, и ваша среда должна соответствовать требованиям, прежде чем устанавливать обновления для каждого этапа на контроллере домена.

Если вы используете обходной путь для отключения добавления подписи PAC, установив для подраздела KrbtgtFullPacSignature значение 0, вы больше не сможете использовать этот обходной путь после установки обновлений, выпущенных 11 апреля 2023 года. Ваши приложения и среда должны быть, по крайней мере, совместимы с подразделом KrbtgtFullPacSignature со значением 1, чтобы установить эти обновления на контроллеры домена.

Если вы не используете какой-либо обходной путь для проблем, связанных с усилением безопасности CVE-2022-37967, вам может потребоваться исправить проблемы в вашей среде на следующих этапах; 11 июля 2023 года — начальный этап внедрения и 10 октября 2023 года — полный этап внедрения.


Узнать другие подробности можно здесь.
Илья Источник:
neowin.net
  • +1



  • Комментарии
  • ВКонтакте
  • Facebook
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

Пользователи онлайн
Всего на сайте: 50
Пользователей: 0
Гостей: 50
Роботы: Yandex
+0  
Новостей: 15204
+0  
Комментариев: 39469
+0  
Пользователей: 10103