업데이트 완료
2023년 4월 10일: 'CVE-2022-37967을 해결하기 위한 업데이트 시기' 섹션에서 2023년 4월 11일부터 2023년 6월 13일까지 '3차 배포 단계'를 업데이트했습니다.
이 문서에서
요약
2022년 11월 8일 Windows 업데이트에서는 PAC(Privilege Attribute Certificate) 서명을 통해 보안 우회 및 권한 상승 취약성을 해결합니다. 이 보안 업데이트는 공격자가 PAC 서명을 디지털로 변경하여 권한을 높일 수 있는 Kerberos 취약성을 해결합니다.
환경을 안전하게 보호하려면 Windows 도메인 컨트롤러를 포함한 모든 장치에 이 Windows 업데이트를 설치하세요. 업데이트를 적용 모드로 전환하기 전에 도메인의 모든 도메인 컨트롤러를 먼저 업데이트해야 합니다.
이 취약성에 대한 자세한 내용은 CVE-2022-37967을 참조하세요.
조치 취하기
환경을 보호하고 운영 중단을 방지하려면 다음 단계를 수행하는 것이 좋습니다.
-
2022년 11월 8일 이후에 릴리스된 Windows 업데이트로 Windows 도메인 컨트롤러를 업데이트합니다.
-
레지스트리 키 설정 섹션을 사용하여 Windows 도메인 컨트롤러를 감사 모드로 이동합니다.
-
감사 모드 중에 제출된 이벤트를 모니터링하여 환경을 보호합니다.
-
사용사용자 환경에서 CVE-2022-37967을 해결하기 위한 적용 모드입니다.
참고 2022년 11월 8일 이후에 릴리스된 업데이트를 설치하는 1단계에서는 Windows 장치용 CVE-2022-37967의 보안 문제가 기본적으로 해결되지 않습니다. 모든 장치의 보안 문제를 완전히 완화하려면 모든 Windows 도메인 컨트롤러에서 가능한 한 빨리 감사 모드(2단계에서 설명)로 이동한 다음 적용 모드(4단계에서 설명)로 이동해야 합니다.
중요 2023년 7월부터 적용 모드가 모든 Windows 도메인 컨트롤러에서 사용하도록 설정되며 비규격 장치의 취약한 연결을 차단합니다. 이때 업데이트를 사용하지 않도록 설정할 수 없지만 감사 모드 설정으로 돌아갈 수 있습니다. 감사 모드는 Kerberos 취약성 CVE-2022-37967을 해결하기 위한 업데이트 시기 섹션에 설명된 대로 2023년 10월에 제거됩니다.
CVE-2022-37967을 해결하기 위한 업데이트 시기
업데이트는 2022년 11월 8일 또는 그 이후에 릴리스된 업데이트의 초기 단계와 2023년 6월 13일 또는 그 이후에 릴리스된 업데이트의 적용 단계로 나누어 릴리스됩니다.
초기 배포 단계는 2022년 11월 8일에 릴리스된 업데이트로 시작하여 적용 단계까지 이후의 Windows 업데이트로 계속됩니다. 이 업데이트는 Kerberos PAC 버퍼에 서명을 추가하지만 인증 중에는 서명을 확인하지 않습니다. 따라서 보안 모드는 기본적으로 사용하지 않도록 설정됩니다.
이 업데이트:
-
Kerberos PAC 버퍼에 PAC 서명을 추가합니다.
-
Kerberos 프로토콜의 보안 우회 취약성을 해결하기 위한 조치를 추가합니다.
두 번째 배포 단계는 2022년 12월 13일에 릴리스된 업데이트로 시작됩니다. 이러한 업데이트 및 이후 업데이트는 Windows 도메인 컨트롤러를 감사 모드로 이동하여 Windows 장치를 감사하도록 Kerberos 프로토콜을 변경합니다.
이 업데이트를 사용하면 모든 장치가 기본적으로 감사 모드로 전환됩니다.
-
서명이 없거나 유효하지 않은 경우 인증이 허용됩니다. 또한 감사 로그가 만들어집니다.
-
서명이 없으면 이벤트를 발생시키고 인증을 허용합니다.
-
서명이 있으면 유효성을 검사합니다. 서명이 올바르지 않으면 이벤트를 발생시키고 인증을 허용합니다.
2023년 6월 13일 또는 그 이후에 릴리스된 Windows 업데이트는 다음을 수행합니다.
-
KrbtgtFullPacSignature 하위 키 값을 0으로 설정하여 PAC 서명 추가를 비활성화하는 기능을 제거합니다.
2023년 7월 11일 또는 그 이후에 릴리스된 Windows 업데이트는 다음을 수행합니다.
-
KrbtgtFullPacSignature 하위 키의 값 1을 설정하는 기능을 제거합니다.
-
관리자가 명시적 감사 설정을 사용하여 재정의할 수 있는 업데이트를 적용 모드(기본값)(KrbtgtFullPacSignature = 3)로 이동합니다.
2023년 10월 10일 또는 그 이후에 릴리스된 Windows 업데이트는 다음을 수행합니다.
-
레지스트리 하위 키 KrbtgtFullPacSignature에 대한 지원을 제거합니다.
-
감사 모드에 대한 지원을 제거합니다.
-
새 PAC 서명이 없는 모든 서비스 티켓은 인증이 거부됩니다.
배포 지침
2022년 11월 8일 또는 그 이후의 Windows 업데이트를 배포하려면 다음 단계를 수행합니다.
-
2022년 11월 8일 또는 그 이후에 릴리스된 업데이트로 Windows 도메인 컨트롤러를 업데이트합니다.
-
레지스트리 키 설정 섹션을 사용하여 도메인 컨트롤러를 감사 모드로 이동합니다.
-
감사 모드 중에 제출된 이벤트를 모니터링하여 환경을 보호할 수 있습니다.
-
사용 사용자 환경에서 CVE-2022-37967을 해결하기 위한 적용 모드입니다.
1단계: 업데이트
2022년 11월 8일 이상의 업데이트를 해당하는 모든 Windows DC(도메인 컨트롤러)에 배포합니다. 업데이트를 배포한 후 업데이트된 Windows 도메인 컨트롤러는 Kerberos PAC 버퍼에 서명이 추가되고 기본적으로 안전하지 않습니다(PAC 서명의 유효성이 검사되지 않음).
-
업데이트하는 동안 모든 Windows 도메인 컨트롤러가 업데이트될 때까지 KrbtgtFullPacSignature 레지스트리 값을 기본 상태로 유지해야 합니다.
2단계: 이동
Windows 도메인 컨트롤러가 업데이트되면 KrbtgtFullPacSignature 값을 2로 변경하여 감사 모드로 전환합니다.
3단계: 찾기/모니터
감사 모드 중에 트리거된 이벤트 로그를 통해 PAC 서명이 누락되었거나 유효성 검사에 실패한 PAC 서명이 있는 영역을 식별합니다.
-
적용 모드로 이동하기 전에 도메인 기능 수준이 2008 이상으로 설정되어 있는지 확인합니다. 2003 도메인 기능 수준의 도메인이 있는 적용 모드로 이동하면 인증이 실패할 수 있습니다.
-
도메인이 완전히 업데이트되지 않았거나 이전에 발급된 미해결 서비스 티켓이 여전히 도메인에 있는 경우 감사 이벤트가 표시됩니다.
-
누락된 PAC 서명 또는 기존 PAC 서명의 유효성 검사 실패를 나타내는 제출된 추가 이벤트 로그를 계속 모니터링합니다.
-
전체 도메인이 업데이트되고 모든 미해결 티켓이 만료된 후에는 감사 이벤트가 더 이상 표시되지 않습니다. 그런 다음 실패 없이 적용 모드로 전환할 수 있습니다.
4단계: 사용
사용자 환경에서 적용 모드를 사용하도록 설정하여 CVE-2022-37967을 해결합니다.
-
모든 감사 이벤트가 해결되어 더 이상 나타나지 않으면 레지스트리 키 설정 섹션에 설명된 대로 KrbtgtFullPacSignature 레지스트리 값을 업데이트하여 도메인을 적용 모드로 이동합니다.
-
서비스 티켓에 유효하지 않은 PAC 서명이 있거나 PAC 서명이 없는 경우 유효성 검사가 실패하고 오류 이벤트가 기록됩니다.
레지스트리 키 설정
Kerberos 프로토콜
2022년 11월 8일 및 이후 날짜의 Windows 업데이트를 설치하면 Kerberos 프로토콜에 다음 레지스트리 키를 사용할 수 있습니다.
-
KrbtgtFullPacSignature
이 레지스트리 키는 Kerberos 변경 사항의 배포를 게이트하는 데 사용됩니다. 이 레지스트리 키는 임시 키이며, 2023년 10월 10일의 전체 적용일 이후에는 더 이상 읽을 수 없습니다.레지스트리 키
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
값
KrbtgtFullPacSignature
데이터 형식
REG_DWORD
데이터
0 – 사용 안 함
1 – 새 서명이 추가되었지만 확인되지 않았습니다. (기본 설정)
2 - 감사 모드. 새 서명이 추가되고 있으면 확인됩니다. 서명이 없거나 유효하지 않은 경우 인증이 허용되고 감사 로그가 생성됩니다.
3 - 적용 모드. 새 서명이 추가되고 있으면 확인됩니다. 서명이 없거나 유효하지 않은 경우 인증이 거부되고 감사 로그가 생성됩니다.
다시 시작해야 하나요?
아니요
참고 KrbtgtFullPacSignature 레지스트리 값을 변경해야 하는 경우 레지스트리 키를 수동으로 추가한 다음 기본값을 재정의하도록 구성하세요.
CVE-2022-37967과 관련된 Windows 이벤트
감사 모드에서 PAC 서명이 없거나 유효하지 않은 경우 다음 오류를 발견할 수 있습니다. 적용 모드에서 이 문제가 계속되면 이러한 이벤트가 오류로 기록됩니다.
장치에서 오류가 발견되면 도메인의 모든 Windows 도메인 컨트롤러가 2022년 11월 8일 또는 이후 Windows 업데이트로 최신 상태가 아닐 수 있습니다. 문제를 완화하려면 도메인을 자세히 조사하여 최신 버전이 아닌 Windows 도메인 컨트롤러를 찾아야 합니다.
참고 이벤트 ID 42에서 오류가 발견되면 KB5021131: CVE-2022-37966과 관련된 Kerberos 프로토콜 변경 관리 방법을 참조하세요.
이벤트 로그 |
시스템 |
이벤트 형식 |
경고 |
이벤트 소스 |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
이벤트 ID |
43 |
이벤트 텍스트 |
KDC(키 배포 센터)에서 전체 PAC 서명의 유효성을 검사할 수 없는 티켓이 발견되었습니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2210019를 참조하세요. 클라이언트: <영역>/<이름> |
이벤트 로그 |
시스템 |
이벤트 형식 |
경고 |
이벤트 소스 |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
이벤트 ID |
44 |
이벤트 텍스트 |
KDC(키 배포 센터)에서 전체 PAC 서명이 포함되지 않은 티켓이 발견되었습니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2210019를 참조하세요. 클라이언트: <영역>/<이름> |
Kerberos 프로토콜을 구현하는 타사 장치
타사 도메인 컨트롤러가 있는 도메인에서 적용 모드에서 오류가 표시될 수 있습니다.
타사 클라이언트가 있는 도메인은 2022년 11월 8일 또는 이후 Windows 업데이트를 설치한 후 감사 이벤트를 완전히 지우는 데 더 오래 걸릴 수 있습니다.
OEM(장치 제조업체) 또는 소프트웨어 공급업체에 문의하여 해당 소프트웨어가 최신 프로토콜 변경 사항과 호환되는지 확인합니다.
프로토콜 업데이트에 대한 자세한 내용은 Microsoft 웹 사이트의 Windows 프로토콜 항목을 참조하세요.
용어집
Kerberos는 네트워크를 통해 통신하는 노드가 서로의 ID를 안전한 방식으로 증명할 수 있도록 "티켓"을 기반으로 작동하는 컴퓨터 네트워크 인증 프로토콜입니다.
PAC(Privilege Attribute Certificate)는 DC(도메인 컨트롤러)에서 제공하는 권한 부여 관련 정보를 전달하는 구조입니다. 자세한 내용은 PAC(Privilege Attribute Certificate) 데이터 구조를 참조하세요.
다른 티켓을 얻는 데 사용할 수 있는 특별한 유형의 티켓입니다. TGT(허용 티켓)는 AS(인증 서비스) 교환에서 초기 인증 후에 획득되므로 사용자는 자격 증명을 제시할 필요가 없지만 TGT를 사용하여 후속 티켓을 얻을 수 있습니다.