Step-by-Step: Wie patche ich die Client- und Serverkomponenten nach dem letzten Microsoft-Security-Update

Lutz
von Lutz
05.04.2023
01:50 MIN

In diesem Jahr stopft Microsoft einige seit 2022 vorbereitete Sicherheitslücken (in erster Linie Funktionshärtung betreffend). Diese gestuften Rollouts begannen mit Client- und Serverpatches im letzten Jahr, die unter anderem ein Auditing einführten und nach und nach das Sicherheitsniveau weiter angehoben haben. Im Frühjahr 2023 werden nun einige dieser Funktionen erzwungen, was bedeutet, dass in manchen Windows-Umgebungen die Client-Server-Kommunikation nicht mehr reibungslos funktionieren mag. In der folgenden Schritt-für-Schritt-Anleitung erfährst du, wie du diese Schwachstellen beheben kannst. 

Update vom 10. April: Microsoft hat kurzfristig zwei Termine verschoben: für die PAC Signierung (CVE-2022-37967) den Beginn der dritten Phase ("Immer eingeschaltet") und für die Anpassungen des Anmeldeprotokolls (CVE-2022-38023) die erzwungene Einschaltung, jeweils vom 11. April auf den 13. Juni.

Update vom 19. Juli: Der Termin zur Erzwingung der geschützten Zertifikate wurde vom 14. November 2023 auf den 11. Februar 2025 - Achtung: tatsächlich 2025! - verschoben

Dieses Vorgehen wurde zwar von Microsoft angekündigt, solche Meldungen gehen aber im - mit Sicherheitswarnungen gut gefüllten - Arbeitsalltag gerne mal unter. Daher soll an dieser Stelle darauf hingewiesen werden, dass es sinnvoll ist, im gegebenen Zeitrahmen die eigenen Client- und Serverkomponenten auf Kompatibilität abzuklopfen.

Entwicklung der Microsoft-Security Komponenten im Zeitverlauf.

Entwicklung der Microsoft-Security Komponenten im Zeitverlauf nach dem Update zur PAC Signierung (CVE-2022-37967) in der dritten Phase. (Bild © Microsoft)

Wie behebe ich die Schwachstellen?

Die Vorgehensweise zur Behebung der drei im Bild dargestellten Schwachstellen ist sehr ähnlich und beinhaltet folgende Punkte:

  1. Installation des 1. Updates
  2. Wenn nötig, Anpassung der Konfiguration zur Erzeugung von Ereignislogeinträgen
  3. Optional: Konfiguration einer zentralen Instanz zur Sammlung der Ereignisse
  4. Kontrolle der Ereignisse und Behebung der Ursache
  5. Vorzeitiges Aktivieren der Erzwingung „Enforcement-Mode“ (kann rückgängig gemacht werden)
  6. Funktionsprüfung und eventueller Neustart bei 2,4,5

Step-by-Step Anleitung

Step 1: Anpassungen des Anmeldeprotokolls (netlogon protocol)

Kurzbeschreibung: Zur Vermeidung der Ausnutzung einer Schwachstelle muss die Sicherheit des RPC-Protokolls erhöht werden. (RPC-Sealing anstatt von RPC-Signing)

Schwachstelle: CVE-2022-38023 - Security Update Guide - Microsoft - Netlogon RPC Elevation of Privilege Vulnerability

Microsoft-Referenz: KB5021130: How to manage the Netlogon protocol changes related to CVE-2022-38023 - Microsoft Support

Zeitplan: Updates nach diesen Terminen beinhalten diese Änderungen.

Registry keyHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
ValueRequireSeal
Data typeREG_DWORD
Data

0 – Disabled  

1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.

2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

Step 2: Anpassungen des Kerberosprotokolls (Privilege Attribute Certificate (PAC) signatures)

Kurzbeschreibung: Zur Vermeidung der Ausnutzung einer Schwachstelle muss die Sicherheit des Kerberos-Protokolls erhöht werden. (Privilege Attribute Certificate (PAC))

Schwachstelle: CVE-2022-37967 - Security Update Guide - Microsoft - Windows Kerberos Elevation of Privilege Vulnerability

Microsoft-Referenz:KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967 - Microsoft Support

Zeitplan: Updates nach diesen Terminen beinhalten diese Änderungen.

!!! Achtung !!! Wert 3 (Erzwingen der Einstellung) wird neuer Standardwert, kann aber überschrieben werden.

Registry-Keys:

Registry keyHKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
ValueKrbtgtFullPacSignature
Data typeREG_DWORD
Data

0 – Disabled  

1 – New signatures are added, but not verified. (Default setting)

2 - Audit mode. New signatures are added, and verified if present. If the signature is either missing or invalid, authentication is allowed and audit logs are created.

3 - Enforcement mode. New signatures are added, and verified if present. If the signature is either missing or invalid, authentication is denied and audit logs are created.

Ergebnisse:

Die Ereignisse 43 und 44 der Quelle „Microsoft-Windows-Kerberos-Key-Distribution-Center“ im Systemerignislog sollten geprüft werden.

Step 3: Anpassungen der Zertifikatsbasierten Anmeldung

Kurzbeschreibung: Zur Vermeidung der Ausnutzung einer Schwachstelle muss die Sicherheit der Zertifikatsbasierten Anmeldung erhöht werden.

Schwachstelle:

CVE-2022-34691 - Security Update Guide - Microsoft - Active Directory Domain Services Elevation of Privilege Vulnerability

CVE-2022-26931 - Security Update Guide - Microsoft - Windows Kerberos Elevation of Privilege Vulnerability

CVE-2022-26923 - Security Update Guide - Microsoft - Active Directory Domain Services Elevation of Privilege Vulnerability

Microsoft-Referenz:

KB5014754—Certificate-based authentication changes on Windows domain controllers - Microsoft Support

Zeitplan: Updates nach diesen Terminen beinhalten diese Änderungen.

Registry-Keys:

Folgender Registrykey steuert den Modus und die Erzwingung der Einstellung. Je nach Wert sind noch weitere Registrykeys anzupassen.

Registry SubkeyHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc
ValueStrongCertificateBindingEnforcement
Data TypeREG_DWORD
Data

1 – Checks if there is a strong certificate mapping. If yes, authentication is allowed. Otherwise, the KDC will check if the certificate has the new SID extension and validate it. If this extension is not present, authentication is allowed if the user account predates the certificate.

2 – Checks if there’s a strong certificate mapping. If yes, authentication is allowed. Otherwise, the KDC will check if the certificate has the new SID extension and validate it. If this extension is not present, authentication is denied.

0 – Disables strong certificate mapping check. Not recommended because this will disable all security enhancements.

If you set this to 0, you must also set CertificateMappingMethods to 0x1F as described in the Schannel registry key section below for computer certificate-based authentication to succeed..

Ereignisse:

Die Ereignisse 39, 40 und 41, 48, 49 der Quelle „Kdcsvc“ im Systemereignislog sollten geprüft werden.

 

Wenn ihr dazu mehr wissen wollt, zögert nicht euch an uns zu wenden. Wir lernen jeden Tag etwas Neues dazu und finden es sehr gut, wenn ihr unser Wissen nutzen könnt. 

Zu den Kommentaren ()