Η Microsoft διερευνά ένα νέο γνωστό ζήτημα που προκαλεί στους ελεγκτές εταιρικών domains να αντιμετωπίσουν προβλήματα ελέγχου ταυτότητας Kerberos, μετά την εγκατάσταση ενημερώσεων ασφαλείας που κυκλοφόρησαν για την αντιμετώπιση του CVE-2020-17049 κατά τη διάρκεια του Patch Tuesday, στις 10 Νοεμβρίου.
Το Kerberos αντικατέστησε το πρωτόκολλο NTLM σαν το προεπιλεγμένο πρωτόκολλο ελέγχου ταυτότητας για συσκευές συνδεδεμένες στο domain σε όλες τις εκδόσεις των Windows πάνω από τα Windows 2000.
Τα πρωτόκολλα ελέγχου ταυτότητας επιτρέπουν τον έλεγχο ταυτότητας χρηστών, υπολογιστών και υπηρεσιών, επιτρέποντας σε εξουσιοδοτημένες υπηρεσίες και χρήστες να έχουν πρόσβαση σε πόρους με ασφαλή τρόπο.
Το CVE-2020-17049 είναι μια δυνατότητα αξιοποίησης απομακρυσμένης εκμετάλλευσης του Kerberos Constrained Delegation (KCD) και υπάρχει στον τρόπο που το KDC καθορίζει εάν τα διαπιστευτήρια της υπηρεσίας μπορούν να χρησιμοποιηθούν για ανάθεση μέσω KCD.
Ενημερώσεις ασφαλείας πίσω από ζητήματα εξουσιοδότησης
“Μετά την εγκατάσταση του KB4586781 σε ελεγκτές domain (DC) και ελεγκτές domain μόνο για ανάγνωση (RODC) στο περιβάλλον σας, ενδέχεται να αντιμετωπίσετε προβλήματα ελέγχου ταυτότητας στο Kerberos”, εξηγεί η Microsoft.
“Αυτό οφείλεται σε ένα πρόβλημα με τον οποίο αντιμετωπίστηκε με το CVE-2020-17049 σε αυτές τις ενημερώσεις. Όπως σημειώνεται στο CVE-2020-17049 , υπάρχουν τρεις τιμές ρύθμισης μητρώου για το PerformTicketSignature για τον έλεγχο, αλλά στην τρέχουσα εφαρμογή ενδέχεται να αντιμετωπίσετε διαφορετικά ζητήματα με κάθε ρύθμιση. ”
Το πρόβλημα επηρεάζει μόνο τους διακομιστές των Windows, τις συσκευές των Windows 10 και τις ευάλωτες εφαρμογές σε εταιρικά περιβάλλοντα σύμφωνα με τη Microsoft.
Επηρεασμένες πλατφόρμες των Windows
Οι συσκευές Windows που ελέγχονται από τον τομέα Kerberos που χρησιμοποιούν MIT Kerberos σφαίρες που επηρεάζονται από αυτό το πρόσφατα αναγνωρισμένο ζήτημα περιλαμβάνουν τους ελεγκτές τομέα μόνο για ανάγνωση, όπως εξηγείται από τη Microsoft.
Οι πλατφόρμες διακομιστών που επηρεάζονται από αυτό το ζήτημα παρατίθενται στον παρακάτω πίνακα, μαζί με τις αθροιστικές ενημερώσεις που προκαλούν στους ελεγκτές τομέα να αντιμετωπίσουν προβλήματα ελέγχου ταυτότητας Kerberos και ανανέωσης εισιτηρίων μετά την εγκατάσταση.
Επηρεαζόμενες πλατφόρμες | |
Υπηρέτης | Προέλευση ενημέρωσης |
Windows Server, έκδοση 20H2 | KB4586781 |
Windows Server, έκδοση 2004 | KB4586781 |
Windows Server, έκδοση 1909 | KB4586786 |
Windows Server, έκδοση 1903 | KB4586786 |
Windows Server 2019 | KB4586793 |
Windows Server 2016 | KB4586830 |
Windows Server 2012 R2 | KB4586845 |
Windows Server 2012 | KB4586834 |
Η Microsoft προσπαθεί να επιδιορθώσει αυτό το γνωστό ζήτημα και θα κυκλοφορήσει κάποια ενημέρωση με πρόσθετες λεπτομέρειες μόλις είναι διαθέσιμες περισσότερες πληροφορίες.