Applies ToWindows Server 2022 Windows Server 2019, all editions Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU

Aggiornato

10 aprile 2023: aggiornata la "Terza fase di distribuzione" dall'11 aprile 2023 al 13 giugno 2023 nella sezione "Timing of updates to address CVE-2022-37967".

Contenuto dell'articolo

Riassunto

Gli aggiornamenti di Windows dell'8 novembre 2022 solvono le vulnerabilità di bypass e elevazione dei privilegi con le firme PAC (Privilege Attribute Certificate). Questo aggiornamento della sicurezza risolve le vulnerabilità Kerberos in cui un utente malintenzionato potrebbe modificare digitalmente le firme PAC, aumentando i privilegi.

Per proteggere l'ambiente, installa questo aggiornamento di Windows in tutti i dispositivi, inclusi i controller di dominio Windows. Tutti i controller di dominio nel dominio devono essere aggiornati prima di passare alla modalità Applicata.

Per altre informazioni su queste vulnerabilità, vedere CVE-2022-37967.

Intervenire

Per proteggere l'ambiente ed evitare interruzioni, è consigliabile eseguire le operazioni seguenti:

  1. AGGIORNARE i controller di dominio Windows con un aggiornamento di Windows rilasciato dopo l'8 novembre 2022 incluso.

  2. SPOSTA i controller di dominio Windows in modalità di controllo utilizzando la sezione delle impostazioni della chiave del Registro di sistema .

  3. MONITORARE gli eventi archiviati durante la modalità di controllo per proteggere l'ambiente.

  4. ATTIVAREModalità di applicazione per affrontare CVE-2022-37967 nell'ambiente.

Nota Il passaggio 1 dell'installazione degli aggiornamenti rilasciati dopo l'8 novembre 2022 non risolverà i problemi di sicurezza in CVE-2022-37967 per i dispositivi Windows per impostazione predefinita. Per ridurre completamente il problema di sicurezza per tutti i dispositivi, è necessario passare alla modalità di controllo (descritta nel passaggio 2) seguita dalla modalità applicata (descritta nel passaggio 4) il prima possibile in tutti i controller di dominio Windows.

Importante A partire da luglio 2023, la modalità di applicazione sarà abilitata in tutti i controller di dominio Windows e bloccherà le connessioni vulnerabili da dispositivi non conformi.  In quel momento, non sarà possibile disabilitare l'aggiornamento, ma potrebbe tornare all'impostazione modalità di controllo. La modalità di controllo verrà rimossa a ottobre 2023, come descritto nella sezione Timing of updates to address Kerberos vulnerability CVE-2022-37967 .

Tempi degli aggiornamenti per risolvere il problema CVE-2022-37967

Aggiornamenti verranno rilasciati in fasi: la fase iniziale per gli aggiornamenti rilasciati l'8 novembre 2022 o successivamente e la fase di applicazione degli aggiornamenti rilasciati dopo il 13 giugno 2023 incluso.

La fase di distribuzione iniziale inizia con gli aggiornamenti rilasciati l'8 novembre 2022 e continua con gli aggiornamenti di Windows successivi fino alla fase di applicazione. Questo aggiornamento aggiunge le firme al buffer PAC Kerberos, ma non verifica la presenza di firme durante l'autenticazione. Pertanto, la modalità protetta è disabilitata per impostazione predefinita.

Questo aggiornamento:

  • Aggiunge le firme PAC al buffer PAC Kerberos.

  • Aggiunge misure per risolvere la vulnerabilità del bypass di sicurezza nel protocollo Kerberos.

La seconda fase di distribuzione inizia con gli aggiornamenti rilasciati il 13 dicembre 2022. Questi e aggiornamenti successivi apportano modifiche al protocollo Kerberos per controllare i dispositivi Windows spostando i controller di dominio Windows in modalità di controllo.

Con questo aggiornamento, tutti i dispositivi saranno in modalità di controllo per impostazione predefinita:

  • Se la firma è mancante o non valida, è consentita l'autenticazione. Verrà inoltre creato un log di controllo. 

  • Se la firma manca, genera un evento e consenti l'autenticazione.

  • Se la firma è presente, convalidala. Se la firma non è corretta, generare un evento e consentire l'autenticazione.

Gli aggiornamenti di Windows rilasciati dopo il 13 giugno 2023 verranno eseguite le operazioni seguenti: 

  • Rimuovere la possibilità di disabilitare l'aggiunta della firma PAC impostando la sottochiave KrbtgtFullPacSignature su un valore pari a 0.

Gli aggiornamenti di Windows rilasciati dopo l'11 luglio 2023 verranno eseguite le operazioni seguenti: 

  • Rimuove la possibilità di impostare il valore 1 per la sottochiave KrbtgtFullPacSignature.

  • Sposta l'aggiornamento alla modalità di applicazione (impostazione predefinita) (KrbtgtFullPacSignature = 3) che può essere sostituita da un amministratore con un'impostazione di controllo esplicita.

Gli aggiornamenti di Windows rilasciati dopo il 10 ottobre 2023 verranno eseguite le operazioni seguenti: 

  • Rimuove il supporto per la sottochiave del Registro di sistema KrbtgtFullPacSignature.

  • Rimuove il supporto per la modalità di controllo.

  • L'autenticazione verrà negata a tutti i ticket di servizio senza le nuove firme PAC.

Linee guida per la distribuzione

Per distribuire gli aggiornamenti di Windows datati 8 novembre 2022 o versioni successive di Windows, procedere come segue:

  1. AGGIORNARE i controller di dominio Windows con un aggiornamento rilasciato dopo l'8 novembre 2022 incluso.

  2. Spostare i controller di dominio in modalità di controllo utilizzando la sezione delle impostazioni della chiave del Registro di sistema.

  3. MONITORARE gli eventi archiviati durante la modalità di controllo per proteggere l'ambiente.

  4. ATTIVARE Modalità di applicazione per affrontare CVE-2022-37967 nell'ambiente.

PASSAGGIO 1: AGGIORNARE 

Distribuire gli aggiornamenti dell'8 novembre 2022 o successivi a tutti i controller di dominio Windows applicabili. Dopo la distribuzione dell'aggiornamento, ai controller di dominio di Windows che sono stati aggiornati verranno aggiunte firme al buffer PAC Kerberos e per impostazione predefinita non sarà protetta (la firma PAC non viene convalidata).

  • Durante l'aggiornamento, assicurati di mantenere il valore del Registro di sistema KrbtgtFullPacSignature nello stato predefinito finché non vengono aggiornati tutti i controller di dominio Windows.

PASSAGGIO 2: SPOSTA 

Dopo aver aggiornato i controller di dominio di Windows, passare alla modalità di controllo impostando il valore KrbtgtFullPacSignature su 2.  

PASSAGGIO 3: TROVARE/MONITORARE 

Identificare le aree in cui mancano firme PAC o che hanno firme PAC che non superano la convalida tramite i log eventi attivati durante la modalità di controllo.   

  • Assicurarsi che il livello di funzionalità del dominio sia impostato almeno su 2008 o superiore prima di passare alla modalità di applicazione. Il passaggio alla modalità di applicazione con domini a livello di funzionalità del dominio 2003 può causare errori di autenticazione.

  • Gli eventi di controllo vengono visualizzati se il dominio non è completamente aggiornato o se nel dominio sono ancora presenti ticket di servizio emessi in precedenza in sospeso.

  • Continuare a monitorare la presenza di log eventi aggiuntivi archiviati che indicano firme PAC mancanti o errori di convalida delle firme PAC esistenti.

  • Dopo l'aggiornamento dell'intero dominio e la scadenza di tutti i ticket in sospeso, gli eventi di controllo non dovrebbero più essere visualizzati. Quindi, dovresti essere in grado di passare alla modalità di applicazione senza errori.

PASSAGGIO 4: ABILITARE 

Abilitare la modalità di applicazione per indirizzare CVE-2022-37967 nell'ambiente.

  • Dopo aver risolto tutti gli eventi di controllo e non essere più visualizzati, spostare i domini in modalità di applicazione aggiornando il valore del Registro di sistema KrbtgtFullPacSignature come descritto nella sezione Impostazioni chiave del Registro di sistema.

  • Se in un ticket di servizio è presente una firma PAC non valida o mancano firme PAC, la convalida avrà esito negativo e verrà registrato un evento di errore.

Impostazioni della chiave del Registro di sistema

Protocollo Kerberos

Dopo l'installazione degli aggiornamenti di Windows con data 8 novembre 2022 o successiva, per il protocollo Kerberos è disponibile la chiave del Registro di sistema seguente:

  • KrbtgtFullPacSignature Questa chiave del Registro di sistema viene utilizzata per eseguire l'implementazione delle modifiche Kerberos. Questa chiave del Registro di sistema è temporanea e non verrà più letta dopo la data di applicazione completa del 10 ottobre 2023. 

    Chiave del Registro di sistema

    HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc

    Valore

    KrbtgtFullPacSignature

    Tipo di dati

    REG_DWORD

    Dati

    0 – Disabilitato  

    1 – Vengono aggiunte nuove firme, ma non verificate. (Impostazione predefinita)

    2 - Modalità di controllo. Le nuove firme vengono aggiunte e verificate se presenti. Se la firma è mancante o non valida, è consentita l'autenticazione e vengono creati log di controllo.

    3 - Modalità di applicazione. Le nuove firme vengono aggiunte e verificate se presenti. Se la firma è mancante o non valida, l'autenticazione viene negata e vengono creati log di controllo.

    È necessario riavviare il sistema?

    No

    Nota Se è necessario modificare il valore del Registro di sistema KrbtgtFullPacSignature, aggiungere e quindi configurare manualmente la chiave del Registro di sistema per ignorare il valore predefinito.

Eventi di Windows correlati a CVE-2022-37967

In modalità di controllo è possibile riscontrare uno degli errori seguenti se le firme PAC sono mancanti o non valide. Se questo problema persiste durante la modalità di applicazione, questi eventi verranno registrati come errori.

Se si trova uno degli errori nel dispositivo, è probabile che tutti i controller di dominio Windows nel dominio non siano aggiornati con un aggiornamento di Windows dell'8 novembre 2022 o successivo. Per attenuare i problemi, dovrai analizzare ulteriormente il dominio per trovare i controller di dominio Windows non aggiornati.  

Nota Se viene visualizzato un errore con ID evento 42, vedere KB5021131: Come gestire le modifiche al protocollo Kerberos correlate a CVE-2022-37966.

Registro eventi

Sistema

Tipo di evento

Attenzione

Origine evento

Centro di distribuzione con chiave Kerberos Microsoft

ID evento

43

Testo evento

Il Key Distribution Center (KDC) ha rilevato un ticket che non è riuscito a convalidare firma PAC completa. Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2210019. Client: <area di autenticazione>/<nome>

Registro eventi

Sistema

Tipo di evento

Attenzione

Origine evento

Centro di distribuzione con chiave Kerberos Microsoft

ID evento

44

Testo evento

Il Key Distribution Center (KDC) ha rilevato un ticket che non conteneva l'intera firma PAC. Per altre informazioni, vedi https://go.microsoft.com/fwlink/?linkid=2210019. Client: <area di autenticazione>/<nome>

Dispositivi di terze parti che implementano il protocollo Kerberos

I domini che dispongono di controller di dominio di terze parti potrebbero visualizzare errori nella modalità di applicazione.

I domini con client di terze parti potrebbero richiedere più tempo per essere completamente cancellati dagli eventi di controllo dopo l'installazione di un aggiornamento di Windows dell'8 novembre 2022 o successivo.

Contatta il produttore del dispositivo (OEM) o il fornitore del software per determinare se il software è compatibile con la modifica del protocollo più recente.

Per informazioni sugli aggiornamenti del protocollo, vedi l'argomento relativo al protocollo Windows nel sito Web Microsoft.

Glossario

Kerberos è un protocollo di autenticazione della rete informatica che funziona in base ai "ticket" per consentire ai nodi che comunicano attraverso una rete di dimostrare la propria identità reciproca in modo sicuro.

Servizio Kerberos che implementa i servizi di autenticazione e concessione ticket specificati nel protocollo Kerberos. Il servizio viene eseguito su computer selezionati dall'amministratore dell'area di autenticazione o del dominio; non è presente in tutti i computer della rete. Deve avere accesso a un database di account per l'area di autenticazione che serve. I controller KDC sono integrati nel ruolo di controller di dominio. Si tratta di un servizio di rete che fornisce ticket ai clienti per l'utilizzo nell'autenticazione ai servizi.

Privilege Attribute Certificate (PAC) è una struttura che comunica informazioni relative all'autorizzazione fornite dai controller di dominio. Per ulteriori informazioni, vedere Privilege Attribute Certificate Data Structure.

Un tipo speciale di biglietto che può essere utilizzato per ottenere altri biglietti. Il ticket di concessione ticket (TGT) viene ottenuto dopo l'autenticazione iniziale nel servizio di autenticazione (AS) scambio; successivamente, gli utenti non hanno bisogno di presentare le proprie credenziali, ma possono utilizzare il TGT per ottenere i biglietti successivi.

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.