Wij zijn dagelijks bezig met het up-to-date houden van onze systemen en dat van onze klanten. Daarbij is het niet alleen van belang om gewoonweg de beschikbare updates te installeren. Veel updates vereisen namelijk ook aanpassingen in de omgeving, bijvoorbeeld omdat een bepaald protocol niet meer wordt ondersteund of doordat bepaalde stukken software op een gegeven moment niet meer onderhouden worden door de leverancier. Dit kan flinke impact hebben op de omgeving en daarom is het goed om hier op tijd mee te beginnen.
In dat kader willen we in deze Tech/update graag aandacht geven aan Microsoft Security Updates KB5014754 en KB5020805.
KB5014754—Certificate-based authentication changes on Windows domain controllers
Een mooie mond vol, maar wat betekent dit voor mijn omgeving zul je denken. Deze wijziging introduceert onder andere “Strong Certificate Mapping”. Voor deze wijziging was het mogelijk om computercertificaten uit te geven zonder het dollarteken ($) achter de naam van het computeraccount. Hierdoor ontstonden diverse mogelijkheden tot misbruik (spoofing) van certificaten. Microsoft dicht deze kwetsbaarheid in KB5014754 welke in meerdere fases wordt geïntroduceerd.
Wat gebeurt er als ik niets doe?
Deze wijziging kan vooral gevolgen hebben in omgevingen waar gebruik wordt gemaakt van authenticatie op basis van computercertificaten. Denk hierbij bijvoorbeeld aan Wifi-oplossingen waarbij gebruik wordt gemaakt van authenticatie op basis van NPS en een certificaat. Of bijvoorbeeld bij het veelgebruikte Always On VPN in combinatie met certificaten.
Vanaf wanneer heeft dit gevolgen?
Sinds mei 2022 is overgegaan op de zogenaamde compatibility mode. Hierbij wordt de oude manier van het koppelen van certificaten nog wel toegestaan maar wordt er een waarschuwing gelogd in het eventlog. Met de updates van april 2023 is de zogenaamde disabled mode waarmee de strong certificate mapping check kan worden uitgeschakeld uitgefaseerd ter voorbereiding op de uiteindelijke full enforment mode in november 2023. Full Enforment mode wordt automatisch ingeschakeld wanneer de updates van november op een domaincontroller worden geïnstalleerd.
Wat kan ik doen om dit te voorkomen?
Controleer op event id 39, 40 en 41 in het Kerberos-Key-Distribution-Center eventlog om te zien of er waarschuwingen worden gelogd zoals besproken wordt in KB5014754. Is dit niet het geval? Schakel dan full enforment mode handmatig in door de besproken registersleutel StrongCertificateBindingEnforcement op waarde “2” te zetten. Zo kun je zelf de controle houden. Zijn er wel waarschuwingen dan hangt het van de situatie af hoe je de omgeving gereed kunt maken voor de nieuwe situatie (bijvoorbeeld door certificaten opnieuw uit te geven). Neem gerust even contact op om de te nemen stappen met elkaar te bepalen.
KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967
Hiermee wordt een kwetsbaarheid gedicht waarbij zogenaamde Privilege Attribute Certificate (PAC) signatures kunnen worden aangepast om verhoogde rechten te verkrijgen. Ook de oplossing voor dit beveiligingsprobleem wordt in meerdere fases door Microsoft uitgerold. Zonder te controleren of deze uitrol gevolgen heeft voor je omgeving loop je het risico dat er authenticatieproblemen ontstaan.
Hoe snel moet ik hiervoor in actie komen?
In december 2022 is al overgegaan op audit mode en met de updates in juni 2023 is de mogelijkheid om het toevoegen van de nieuwe signature uit te zetten verwijderd. In juli dit jaar (2023) gaat de enforcement fase in (KrbtgtFullPacSignature wordt op waarde “3” gezet), waarmee de nieuwe beveiligingsmethode wordt afgedwongen maar nog wel kan worden uitgezet. Uiteindelijk zal met de updates van oktober 2023 de ondersteuning voor de registersleutel KrbtgtFullPacSignature worden verwijderd en wordt de vernieuwde beveiliging standaard.
| Registry key | HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc |
| Value | KrbtgtFullPacSignature |
| Data type | REG_DWORD |
| Data | 0 – Disabled
1 – New signatures are added, but not verified. (Default setting) 2 – Audit mode. New signatures are added, and verified if present. If the signature is either missing or invalid, authentication is allowed and audit logs are created. 3 – Enforcement mode. New signatures are added, and verified if present. If the signature is either missing or invalid, authentication is denied and audit logs are created. |
| Restart required? | No |
Wat wordt er van mij verwacht?
Omdat de eerste enforcementfase in de zomervakantie start is het goed om nu al te controleren op event ID 42,43,44 in het KDC eventlog van de Domain Controllers. Schakel ook hier weer eerst zelf gecontroleerd over op enforcement mode (KrbtgtFullPacSignature => “3”) wanneer er geen audit events worden gelogd.
Heb je een andere CVE of (Security) Update waar je graag meer over wilt weten?
We gaan graag met je aan de slag om te bepalen of iets impact gaat hebben op jouw omgeving. Dit kan natuurlijk via een vraag naar onze technische mannen (helpdesk@gtsonline.nl), maar we kunnen hier ook een blogje aan wijden. Kom dan ook vooral eens in de lucht, vinden we leuk!