Microsoft устранила уязвимость проверки Windows CVE-2024-26248 и CVE-2024-29056 Kerberos PAC.

На прошлой неделе Microsoft выпустила обновления «Вторник исправлений» за апрель 2024 г. для Windows 10 (KB5036892), Windows 11 (KB5036893) и других.

Наряду с этим компания также сообщила, что патч устраняет две уязвимости аутентификации Kerberos PAC, отслеживаемые под CVE-2024-26248 и CVE-2024-29056, обе из которых представляют собой недостатки несанкционированного повышения привилегий в обход проверок подписи PAC, которые были добавлены ранее. В KB5020805.

Microsoft объясняет в своем документе поддержки, что:

Обновления безопасности Windows, выпущенные 9 апреля 2024 г. или после этой даты, устраняют уязвимости, связанные с несанкционированным повышением привилегий, с использованием протокола проверки Kerberos PAC. Сертификат атрибута привилегий (PAC) — это расширение билетов службы Kerberos. Он содержит информацию об аутентифицированном пользователе и его привилегиях. Это обновление устраняет уязвимость, из-за которой пользователь процесса может подделать подпись, чтобы обойти дополнительные проверки безопасности проверки подписи PAC. КБ5020805.

Microsoft также добавила, что простой загрузки и установки обновлений Patch Tuesday за апрель 2024 года будет недостаточно для устранения уязвимости, и что пользователям также придется принудительно вносить изменения. Это только начальный этап развертывания исправления, и он не будет применяться по умолчанию позднее.

Полный график предстоящих изменений представлен ниже:

9 апреля 2024 г.: этап начального развертывания — режим совместимости.

Начальный этап развертывания начинается с обновлений, выпущенных 9 апреля 2024 г. Это обновление добавляет новое поведение, которое предотвращает уязвимости несанкционированного повышения привилегий, описанные в CVE-2024-26248 и CVE-2024-29056, но не применяет его, если только контроллеры домена Windows и Windows не применяют его принудительно. клиентов в окружающей среде.

Чтобы включить новое поведение и устранить уязвимости, необходимо убедиться, что вся среда Windows (включая контроллеры домена и клиенты) обновлена. События аудита будут регистрироваться, чтобы помочь выявить устройства, которые не обновлены.

15 октября 2024 г.: введена виртуальная фаза.

Обновления, выпущенные 15 октября 2024 г. или после этой даты, переведут все контроллеры домена и клиенты Windows в среде в принудительный режим путем изменения параметров подраздела реестра на PacSignatureValidationLevel=3 и CrossDomainFilteringLevel=4, что обеспечивает безопасное поведение по умолчанию.

Администратор может отменить настройки, установленные по умолчанию, чтобы вернуться в режим совместимости.

8 апреля 2025 г.: этап реализации.

Обновления безопасности Windows, выпущенные 8 апреля 2025 г. или после этой даты, удалят поддержку подразделов реестра PacSignatureValidationLevel и CrossDomainFilteringLevel и обеспечат новое безопасное поведение. После установки этого обновления поддержка режима совместимости не будет.

Более подробную информацию об этом вы можете найти в официальной поддержке. документ Под KB5037754 на сайте Microsoft.