WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Microsoft phát hành hướng dẫn vá lỗi an ninh Kerberos
Microsoft vừa công bố chi tiết bổ sung về cách khắc phục hoàn toàn lỗ hổng vượt qua tính năng an ninh trong Kerberos KDC (Key Distribution Center) được vá trong bản vá Patch Tuesday tháng 11.
Lỗ hổng có thể khai thác từ xa này (CVE-2020-17049) tồn tại trong cách KDC quyết định xem có thể sử dụng phiếu dịch vụ để ủy quyền thông qua Ủy quyền hạn chế của Kerberos (KCD) hay không.
Kerberos là giao thức xác thực mặc định cho các thiết bị kết nối domain chạy Windows 2000 trở lên. Kerberos KDC là một tính năng quản lý các phiếu dịch vụ được sử dụng để mã hóa thông điệp giữa máy chủ mạng và máy khách.
Cập nhật bản vá là cần thiết để khắc phục lỗ hổng
Microsoft đã phát hành các bản cập nhật an ninh để giải quyết lỗi vượt qua tính năng an ninh của Kerberos KDC vào đầu tháng này, trong bản vá Patch Tuesday tháng 11/2020.
Tuy nhiên, theo Nhóm Bảo mật của Microsoft ở Nhật Bản, "khắc phục lỗ hổng này không chỉ yêu cầu triển khai các bản cập nhật an ninh cho tất cả các DC (Domain Controller) và RODC (Domain Controller chỉ đọc) mà còn cả các bước phản hồi bổ sung".
Kể từ ngày 19/11/2020, đây là những bản cập nhật mà quản trị viên có thể triển khai để khắc phục lỗ hổng trên các máy chủ DC và RODC trong mạng của mình.
Các bước bổ sung để khắc phục đầy đủ
Để khắc phục hoàn toàn lỗ hổng trên máy chủ Domain Controller bị ảnh hưởng, Microsoft khuyến cáo thực hiện các bước bổ sung trước khi cài đặt bản cập nhật.
Trước tiên, quản trị viên cần đảm bảo rằng cài đặt PerformTicketSignature trong khóa con registry Kdc tại HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ Kdc được đặt thành 1 để tránh làm cho tính năng S4USelf của Kerberos không hoạt động được khi khóa con được đặt thành 0.
Quy trình để triển khai đúng bản cập nhật cho CVE-2020-17049 bao gồm việc đặt registry Kdc thành 1 trước khi cài đặt bản cập nhật thực tế cho máy chủ DC:
1. Tìm khóa con registry Kdc và nếu tồn tại trên hệ thống, hãy đảm bảo nó được đặt thành 1.
2. Hoàn thiện việc triển khai cho tất cả các DC (và DC chỉ đọc)
Vấn đề xác thực Kerberos
Tuy nhiên, bản vá CVE-2020-17049 sẽ khiến một số Domain Controller có khả năng gặp phải sự cố xác thực Kerberos và làm mới phiếu Kerberos như Microsoft đã tiết lộ vào ngày 16/11.
Sự cố chỉ ảnh hưởng đến Windows Server, thiết bị Windows 10 và các ứng dụng tồn tại lỗ hổng trong môi trường doanh nghiệp.
Hai ngày sau đó, công ty phát hành bản cập nhật out-of-band để giải quyết vấn đề xác thực Kerberos trên tất cả các phiên bản Windows Server bị ảnh hưởng, từ Windows Server 2012 đến Windows Server 20H2.
Bản cập nhật này chỉ được cung cấp dưới dạng các gói độc lập được phân phối qua Microsoft Update Catalog.
Lỗ hổng có thể khai thác từ xa này (CVE-2020-17049) tồn tại trong cách KDC quyết định xem có thể sử dụng phiếu dịch vụ để ủy quyền thông qua Ủy quyền hạn chế của Kerberos (KCD) hay không.
Kerberos là giao thức xác thực mặc định cho các thiết bị kết nối domain chạy Windows 2000 trở lên. Kerberos KDC là một tính năng quản lý các phiếu dịch vụ được sử dụng để mã hóa thông điệp giữa máy chủ mạng và máy khách.
Cập nhật bản vá là cần thiết để khắc phục lỗ hổng
Microsoft đã phát hành các bản cập nhật an ninh để giải quyết lỗi vượt qua tính năng an ninh của Kerberos KDC vào đầu tháng này, trong bản vá Patch Tuesday tháng 11/2020.
Tuy nhiên, theo Nhóm Bảo mật của Microsoft ở Nhật Bản, "khắc phục lỗ hổng này không chỉ yêu cầu triển khai các bản cập nhật an ninh cho tất cả các DC (Domain Controller) và RODC (Domain Controller chỉ đọc) mà còn cả các bước phản hồi bổ sung".
Kể từ ngày 19/11/2020, đây là những bản cập nhật mà quản trị viên có thể triển khai để khắc phục lỗ hổng trên các máy chủ DC và RODC trong mạng của mình.
Các bước bổ sung để khắc phục đầy đủ
Để khắc phục hoàn toàn lỗ hổng trên máy chủ Domain Controller bị ảnh hưởng, Microsoft khuyến cáo thực hiện các bước bổ sung trước khi cài đặt bản cập nhật.
Trước tiên, quản trị viên cần đảm bảo rằng cài đặt PerformTicketSignature trong khóa con registry Kdc tại HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ Kdc được đặt thành 1 để tránh làm cho tính năng S4USelf của Kerberos không hoạt động được khi khóa con được đặt thành 0.
Quy trình để triển khai đúng bản cập nhật cho CVE-2020-17049 bao gồm việc đặt registry Kdc thành 1 trước khi cài đặt bản cập nhật thực tế cho máy chủ DC:
1. Tìm khóa con registry Kdc và nếu tồn tại trên hệ thống, hãy đảm bảo nó được đặt thành 1.
2. Hoàn thiện việc triển khai cho tất cả các DC (và DC chỉ đọc)
Vấn đề xác thực Kerberos
Tuy nhiên, bản vá CVE-2020-17049 sẽ khiến một số Domain Controller có khả năng gặp phải sự cố xác thực Kerberos và làm mới phiếu Kerberos như Microsoft đã tiết lộ vào ngày 16/11.
Sự cố chỉ ảnh hưởng đến Windows Server, thiết bị Windows 10 và các ứng dụng tồn tại lỗ hổng trong môi trường doanh nghiệp.
Hai ngày sau đó, công ty phát hành bản cập nhật out-of-band để giải quyết vấn đề xác thực Kerberos trên tất cả các phiên bản Windows Server bị ảnh hưởng, từ Windows Server 2012 đến Windows Server 20H2.
Bản cập nhật này chỉ được cung cấp dưới dạng các gói độc lập được phân phối qua Microsoft Update Catalog.
Theo Bleeping Computer