Atualizado
10 de abril de 2023: Atualizou a "Terceira fase de implantação" de 11 de abril de 2023 a 13 de junho de 2023 na seção "Tempo de atualizações para abordar a CVE-2022-37967".
Neste artigo
Resumo
As atualizações do Windows de 8 de novembro de 2022 corrigem as vulnerabilidades do bypass de segurança e da elevação de privilégio com assinaturas do PAC (certificado de atributos de privilégio). Essa atualização de segurança corrige as vulnerabilidades do Kerberos em que um invasor pode alterar digitalmente as assinaturas PAC, aumentando seus privilégios.
Para ajudar a proteger seu ambiente, instale essa atualização do Windows em todos os dispositivos, incluindo controladores de domínio do Windows. Todos os controladores de domínio em seu domínio devem ser atualizados primeiro antes de alternar a atualização para o modo de imposição.
Para saber mais sobre essas vulnerabilidades, confira CVE-2022-37967.
Tome medidas
Para ajudar a proteger seu ambiente e evitar interrupções, recomendamos que você siga as seguintes etapas:
-
ATUALIZE seus controladores de domínio do Windows com uma atualização do Windows lançada em ou após 8 de novembro de 2022.
-
MIGRE seus controladores de domínio do Windows para o modo de auditoria usando a seção Configuração da Chave do Registro.
-
MONITORE eventos arquivados durante o modo auditoria para proteger seu ambiente.
-
HABILITE Modo de imposição para corrigir o CVE-2022-37967 em seu ambiente.
Observação A etapa 1 da instalação de atualizações lançadas em ou após 8 de novembro de 2022 NÃO resolverá os problemas de segurança no CVE-2022-37967 para dispositivos Windows por padrão. Para atenuar totalmente o problema de segurança para todos os dispositivos, você deve migrar para o modo de auditoria (descrito na etapa 2) seguido pelo modo de imposição (descrito na etapa 4) o mais rápido possível em todos os controladores de domínio do Windows.
Importante A partir de julho de 2023, o modo de imposição será habilitado em todos os controladores de domínio do Windows e bloqueará conexões vulneráveis de dispositivos não compatíveis. Nesse momento, você não poderá desabilitar a atualização, mas poderá voltar para a configuração do modo de auditoria. O modo de auditoria será removido em outubro de 2023, conforme descrito na seção Tempo de atualizações para resolver a vulnerabilidade do Kerberos CVE-2022-37967.
Tempo de atualizações para resolver o CVE-2022-37967
As atualizações serão lançadas em fases: a fase inicial para atualizações lançadas em ou após 8 de novembro de 2022 e a fase de imposição para atualizações lançadas em ou após 13 de junho de 2023.
A fase de implantação inicial começa com as atualizações do Windows lançadas em 8 de novembro de 2022 e continua com as atualizações posteriores do Windows até a fase de imposição. Esta atualização adiciona assinaturas ao buffer do PAC do Kerberos, mas não verifica se há assinaturas durante a autenticação. Assim, o modo seguro é desabilitado por padrão.
Esta atualização:
-
Adiciona assinaturas ao buffer do PAC do Kerberos.
-
Adiciona medidas para resolver a vulnerabilidade do bypass de segurança no protocolo Kerberos.
A segunda fase de implantação começa com as atualizações lançadas em 13 de dezembro de 2022. Essas e atualizações posteriores fazem alterações no protocolo Kerberos para auditar dispositivos Windows migrando os controladores de domínio do Windows para o modo de auditoria.
Com essa atualização, todos os dispositivos estarão no modo auditoria por padrão:
-
Se a assinatura estiver ausente ou inválida, a autenticação será permitida. Além disso, um log de auditoria será criado.
-
Se a assinatura estiver ausente, crie um evento e permita a autenticação.
-
Se a assinatura estiver presente, valide-a. Se a assinatura estiver incorreta, crie um evento e permita a autenticação.
As atualizações do Windows lançadas em ou após 13 de junho de 2023 farão o seguinte:
-
Remover a capacidade de desabilitar a adição de assinatura do PAC definindo a subchave KrbtgtFullPacSignature como um valor de 0.
As atualizações do Windows lançadas em ou após 11 de julho de 2023 farão o seguinte:
-
Remove a capacidade de definir o valor 1 para a subchave KrbtgtFullPacSignature.
-
Migra a atualização para o modo de imposição (padrão) (KrbtgtFullPacSignature = 3) que pode ser substituída por um administrador com uma configuração de auditoria explícita.
As atualizações do Windows lançadas em ou após 10 de outubro de 2023 farão o seguinte:
-
Remover o suporte para a subchave de registro KrbtgtFullPacSignature.
-
Remover o suporte para o modo de auditoria.
-
Todos os tíquetes de serviço sem as novas assinaturas PAC terão a autenticação negada.
Diretrizes de implantação
Para implantar as atualizações do Windows datadas de 8 de novembro de 2022 ou atualizações posteriores do Windows, siga estas etapas:
-
ATUALIZE seus controladores de domínio do Windows com uma atualização lançada em ou após 8 de novembro de 2022.
-
MIGRE seus controladores de domínio para o modo de auditoria usando a seção Configuração da Chave do Registro.
-
MONITORE eventos arquivados durante o modo de auditoria para ajudar a proteger seu ambiente.
-
HABILITE Modo de imposição para corrigir o CVE-2022-37967 em seu ambiente.
ETAPA 1: ATUALIZAR
Implante as atualizações de 8 de novembro de 2022 ou posteriores em todos os DCs (controladores de domínio) do Windows aplicáveis. Depois de implantar a atualização, os controladores de domínio do Windows que foram atualizados terão assinaturas adicionadas ao Buffer do PAC do Kerberos e ficarão inseguros por padrão (a assinatura do PAC não é validada).
-
Durante a atualização, mantenha o valor do registro KrbtgtFullPacSignature no estado padrão até que todos os controladores de domínio do Windows sejam atualizados.
ETAPA 2: MIGRAR
Depois que os controladores de domínio do Windows forem atualizados, alterne para o modo de auditoria alterando o valor krbtgtFullPacSignature para 2.
ETAPA 3: LOCALIZAR/MONITORAR
Identifique as áreas que estão faltando assinaturas PAC ou têm assinaturas PAC que falham na validação por meio dos logs de eventos disparados durante o modo auditoria.
-
Verifique se o nível funcional do domínio está definido como pelo menos 2008 ou superior antes de migrar para o modo de imposição. Migrar para o modo de imposição com domínios no nível funcional do domínio de 2003 pode resultar em falhas de autenticação.
-
Eventos de auditoria serão exibidos se seu domínio não estiver totalmente atualizado ou se ainda existirem tíquetes de serviço pendentes emitidos anteriormente em seu domínio.
-
Continue monitorando os logs de eventos adicionais arquivados que indicam assinaturas PAC ausentes ou falhas de validação de assinaturas PAC existentes.
-
Depois que todo o domínio for atualizado e todos os tíquetes pendentes expirarem, os eventos de auditoria não devem mais aparecer. Em seguida, você deve ser capaz de migrar para o modo de imposição sem falhas.
ETAPA 4: HABILITAR
Habilite o modo de imposição para corrigir o CVE-2022-37967 em seu ambiente.
-
Depois que todos os eventos de auditoria tiverem sido resolvidos e não aparecerem mais, migre seus domínios para o modo de imposição atualizando o valor do registro KrbtgtFullPacSignature, conforme descrito na seção Configurações da Chave do Registro.
-
Se um tíquete de serviço tiver assinatura PAC inválida ou estiver faltando assinaturas PAC, a validação falhará e um evento de erro será registrado.
Configurações da Chave do Registro
Protocolo Kerberos
Depois de instalar as atualizações do Windows datadas de 8 de novembro de 2022 ou após, a seguinte chave de registro estará disponível para o protocolo Kerberos:
-
KrbtgtFullPacSignature
Essa chave de registro é usada para bloquear a implantação das alterações do Kerberos. Essa chave do registro é temporária e não será mais lida após a data completa de execução de 10 de outubro de 2023.Chave do Registro
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
Valor
KrbtgtFullPacSignature
Tipo de dados
REG_DWORD
Dados
0 – Desabilitado
1 – Novas assinaturas são adicionadas, mas não verificadas. (Configuração padrão)
2 - Modo de auditoria. Novas assinaturas são adicionadas e verificadas se estiverem presentes. Se a assinatura estiver ausente ou inválida, a autenticação será permitida e os logs de auditoria serão criados.
3 - Modo de imposição. Novas assinaturas são adicionadas e verificadas se estiverem presentes. Se a assinatura estiver ausente ou inválida, a autenticação será negada e os logs de auditoria serão criados.
Reinicialização necessária?
Não
Observação Se você precisar alterar o valor do registro KrbtgtFullPacSignature, adicione manualmente e configure a chave do registro para substituir o valor padrão.
Eventos do Windows relacionados ao CVE-2022-37967
No modo de auditoria, você poderá encontrar um dos seguintes erros se as assinaturas PAC estiverem ausentes ou inválidas. Se esse problema continuar durante o modo de imposição, esses eventos serão registrados como erros.
Se você encontrar um erro em seu dispositivo, é provável que todos os controladores de domínio do Windows em seu domínio não estejam atualizados com uma atualização do Windows de 8 de novembro de 2022 ou posterior. Para atenuar os problemas, você precisará investigar ainda mais seu domínio para encontrar controladores de domínio do Windows que não estão atualizados.
Observação Se você encontrar um erro com a ID do Evento 42, confira KB5021131: como gerenciar as alterações do protocolo Kerberos relacionadas ao CVE-2022-37966.
Log de eventos |
Sistema |
Tipo de Evento |
Aviso |
Origem do evento |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID do Evento |
43 |
Texto do Evento |
O Centro de Distribuição de Chaves (KDC) encontrou um tíquete que não podia validar o Assinatura PAC completa. Confira https://go.microsoft.com/fwlink/?linkid=2210019 para saber mais. Cliente : <realm>/<Name> |
Log de eventos |
Sistema |
Tipo de evento |
Aviso |
Origem do evento |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID do Evento |
44 |
Texto do evento |
O KDC (centro de distribuição de chaves) encontrou um tíquete que não continha a assinatura PAC completa. Confira https://go.microsoft.com/fwlink/?linkid=2210019 para saber mais. Cliente : <realm>/<Name> |
Dispositivos de terceiros que implementam o protocolo Kerberos
Domínios que têm controladores de domínio de terceiros podem ver erros no modo de imposição.
Domínios com clientes de terceiros podem levar mais tempo para serem totalmente desmarcados de eventos de auditoria após a instalação de uma atualização do Windows de 8 de novembro de 2022 ou posterior.
Entre em contato com o fabricante de dispositivos (OEM) ou o fornecedor de software para determinar se seu software é compatível com a alteração de protocolo mais recente.
Para obter informações sobre atualizações de protocolo, confira o tópico Protocolo do Windows no site da Microsoft.
Glossário
O Kerberos é um protocolo de autenticação de rede de computadores que funciona com base em “tíquetes” para permitir que os nós que se comunicam em uma rede provem sua identidade uns aos outros de maneira segura.
O serviço Kerberos que implementa os serviços de autenticação e concessão de tíquete especificados no protocolo Kerberos. O serviço é executado em computadores selecionados pelo administrador do realm ou domínio; ele não está presente em todos os computadores na rede. Ele deve ter acesso a um banco de dados de conta para o realm que ele serve. KDCs são integrados à função de controlador de domínio. É um serviço de rede que fornece tíquetes para clientes para uso na autenticação aos serviços.
O PAC (certificado de atributos de privilégio) é uma estrutura que transmite informações relacionadas à autorização fornecidas por DCs (controladores de domínio). Para obter mais informações, confira Estrutura de dados do certificado de atributos de privilégio.
Um tipo especial de tíquete que pode ser usado para obter outros tíquetes. O TGT (tíquete de concessão de tíquetes) é obtido após a autenticação inicial na troca do AS (Serviço de Autenticação). Depois disso, os usuários não precisam apresentar suas credenciais, mas podem usar o TGT para obter tíquetes subsequentes.