Último Em novembro, a Microsoft confirmou uma vulnerabilidade de elevação de privilégio no Windows Kerberos, o protocolo de autenticação de identidade. Após a confirmação, a empresa enviou uma correção de segurança para servidores (KB5019081) como parte do Patch daquele mês Terça-feira. Esta foi uma atualização em etapas, com a Fase 1 em novembro, a Fase 2 em dezembro e agora a Microsoft diz que A fase 3 está chegando.
O patch aborda a falha do Windows Kerberos que permite que os agentes de ameaças alterem as assinaturas do Privilege Attribute Certificate (PAC) (rastreadas sob o ID “CVE-2022-37967″). No momento de sua descoberta e divulgação, a empresa descreveu o problema da seguinte maneira:
“As atualizações do Windows de 8 de novembro de 2022 abordam o desvio de segurança e a elevação de vulnerabilidades de privilégio com atributo de privilégio Assinaturas de certificado (PAC). Esta atualização de segurança aborda as vulnerabilidades do Kerberos em que um invasor pode alterar digitalmente as assinaturas do PAC, aumentando seus privilégios.
Para ajudar a proteger seu ambiente, instale esta atualização do Windows em todos os dispositivos, incluindo controladores de domínio do Windows.”
Fase 3
Após as atualizações da Fase 1 e Fase 2 em novembro e dezembro, a Microsoft agora está passando para a Fase 3. A empresa publicou hoje um lembrete que informa os usuários a se lembrarem da implantação. Está agendado para o Patch Tuesday de abril de 2023, que será em 11 de abril de 2023.
A Microsoft diz:
“Mudanças de proteção de segurança necessárias em controladores de domínio em ambientes de TI para lidar com CVE-2022-37967 entrará na terceira fase de implantação com o lançamento de atualizações em 11 de abril de 2023, conforme descrito em KB5020805: Como gerenciar as alterações do protocolo Kerberos relacionadas a CVE-2022-37967. Cada fase aumenta o mínimo padrão para as alterações de reforço de segurança para CVE-2022-37967 e seu ambiente deve estar em conformidade antes de instalar atualizações para cada fase em seu controlador de domínio.
Se você estiver usando a solução alternativa para desativar o PAC adição de assinatura definindo a subchave KrbtgtFullPacSignature com um valor de 0, você não poderá mais usar esta solução alternativa após instalar as atualizações lançadas em 11 de abril de 2023. Seus aplicativos e ambiente precisarão pelo menos ser compatíveis com a subchave KrbtgtFullPacSignature para um valor de 1 para instalar essas atualizações em seus controladores de domínio.”
Dica do dia: Cansado do padrão do Windows notificação e outros sons do sistema? Em nosso tutorial, mostramos como alterar os sons do Windows ou desativar totalmente os sons do sistema.