Kdo by neměl rád články a balíčky, se kterými si lze hrát déle než jeden večer.
Kdo by neměl rád články a balíčky, se kterými si lze hrát déle než jeden večer. Dnes bychom rádi upozornili na ty nejpozoruhodnější: KB5008102, KB5008380, KB5008382, KB5008383 a bonusové KB5007186 a KB5007409. Bohužel to nebude příjemné čtení.
Balíček #1: KB5008102 — Active Directory Security Accounts Manager hardening changes (CVE-2021-42278)
S využitím podvrženého sAMAccountName jména se útočník může vydávat za řadič domény. Po instalaci aktualizace budou prováděny během autentizace dodatečné kontroly atributů.
Balíček #2: KB5008380 — Authentication updates (CVE-2021-42287)
Aktualizace také upravuje způsob autentizace tak, aby KDC nevystavoval tikety se zvýšenými oprávněními pro kompromitované účty. Autentizační proces nově do TGT přidává informace o původním žadateli, a při vystavování následných servisních tiketů je prováděna křížová kontrola.
Aktualizace je rozdělena na tři části:
- 9.listopad 2021: Uvolnění aktualizace a přidání nové hodnoty PacRequestorEnforcementv registrech
- 12.duben 2022: Deaktivace funkcionality PacRequestorEnforcement
- 12.červenec 2022: Nucené zapnutí nového režimu, odebrání PacRequestorEnforcement z registru
Důležité je předem si ověřit, zda nový způsob ověřování negativně neovlivní stávající prostředí (sledováním událostí v logu během prvních fází). Pokud během enforcement režimu v prostředí objeví kombinace aktualizovaných a neaktualizovaných řadičů domény, nebudou vzájemně kompatibilní.
Balíček #3: B5008382 — Verification of uniqueness for user principal name, service principal name, and the service principal name alias (CVE-2021-42282)
Aktualizace vynucuje striktnější pravidla pro unikátnost atributů UPN a SPN aliasů.
Balíček #4: KB5008383 — Active Directory permissions updates (CVE-2021-42291)
Další „rozfázovaná“ aktualizace zabraňující neoprávněnému nastavování citlivých atributů pro objekty v AD:
- 9.listopad 2021: Uvolnění aktualizace a přidání podpory režimů pro dSHeuristics
- 12.duben 2022: vynucení enforcement režimu
Opět nás tedy čeká kontrola logů a případné změny, pokud v prostředí narazíme na potenciálně problematickou službu.
Bonusový balíček: KB5008383 – Servicing stack update pro Windows 10
Před instalací ověřte potenciální problémy s tiskem, které jsou popsány v seznamu známých problémů.
Bonusový balíček: KB5007409 pro Microsoft Exchange Server 2019, 2016 a 2013
Mimo jiné je zahrnuta oprava zranitelnosti CVE-2021-42321, která umožňuje útočníkovi vzdálené spuštění kódu na serveru pod libovolným účtem. Zranitelnost je již aktivně zneužívána a jedná se bohužel o velmi nepříjemnou chybu.
