Tags: Authentifizierung, Schwachstellen, Kompatibilität, Zertifikate
Microsoft veröffentlichte im letzten Jahr Patches gegen mehrere Schwachstellen bei der Windows-Authentifizierung. Da diese jedoch die Anmeldung von Benutzern oder Geräten blockieren können, treten diese Änderungen nur phasenweise in Kraft. In diesem Jahr läuft bei drei Updates die Möglichkeit zur Deaktivierung aus.
Betroffen sind die Updates aus dem Mai 2022 (KB5014754) und November 2022 (KB5021130 und KB5020805). Das erste behebt ein Problem mit der Zertifikats-basierten Authentifizierung, die beiden anderen beseitigen eine Schwachstelle in Netlogon bzw. mit Kerberos PAC Signaturen.
Alle drei begnügten sich in der ersten Phase damit, Ereignisse zu protokollieren, wenn diese eine Ausnutzung der gefunden Schwachstellen ermöglichen würden. Im Fall von KB5014754 ist dies etwa bei einer schwachen Zuordnung von Zertifikaten zu Benutzern der Fall.
Das Gleiche gilt bei der Signierung des Kerberos PAC Buffers, den Angreifer manipulieren könnten, um höhere Rechte zu erlangen. Beim Netlogon-Protokoll erzwingt Microsoft die vollständige Umstellung von RPC Signing auf RPC Sealing.
Nach dem anfänglichen Audit schaltet Microsoft die mit den Updates eingeführten Schutzmechanismen scharf, erlaubt Admins aber, mit entsprechenden Registry-Schlüsseln den Audit-Modus für eine begrenzte Zeit beizubehalten.
Schließlich entfällt auch diese Option und die Änderungen laufen im Erzwingungsmodus. Unternehmen sollten bis dahin alle Kompatibilitätsprobleme ausgeräumt haben, damit Benutzer nicht bei der Anmeldung scheitern.
Microsoft fasste den Fahrplan für die drei Updates vom Auditing bis zur unwiderruflichen Durchsetzung nun in einem Blog-Post und einer Grafik zusammen, um Admins an die damit zusammenhängenden Aufgaben zu erinnern.
Der Beitrag rekapituliert die genauen Daten für die einzelnen Phasen der drei Updates und verlinkt zu den betreffenden KB-Artikeln, damit man sich mit den Schwachstellen und den Auswirkungen der dafür vorgesehenen Updates vertraut machen kann.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- November-Update bringt 3 Patches für Domain-Controller (CVE-2022-37966, CVE-2022-37967, CVE-2022-38023)
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
- Mit Zertifikaten an Azure Active Directory authentifizieren
- Authentifizierung ohne Passwörter mit Windows Hello for Business
- Starke Windows-Authentifizierung mit virtuellen Smartcards
Weitere Links