Kleiner Nachtrag von letzter Woche als Information: Microsoft hat zum 13. April 2021 erneut Änderungen bei AD DC-Systemen vorgenommen, um die Authentifizierungs-Schwachstelle CVE-2020-17049 im Kerberos-Ticketing zu stopfen. Mit den Updates vom 13. April 2021 (Patchday) wurde die Möglichkeit, den Registrierungswert PerformTicketSignature=0 zu setzen, entfernt.
Anzeige
Weiterer Eingriff zum 13. April 2021
Ich hatte es nur am Rande mitbekommen, im Blog-Beitrag Patchday: Windows 10-Updates (13. April 2021) findet sich der Hinweise auf weitere Änderungen im Hinblick auf die Kerberos Authentifizierungsschwachstelle CVE-2020-17049.
Addresses an issue in which a principal in a trusted MIT realm fails to obtain a Kerberos service ticket from Active Directory domain controllers (DC). This occurs on devices that installed Windows Updates that contain CVE-2020-17049 protections and configured PerfromTicketSignature to 1 or higher. These updates were released between November 10, 2020 and December 8, 2020. Ticket acquisition also fails with the error, "KRB_GENERIC_ERROR", if callers submit a PAC-less Ticket Granting Ticket (TGT) as an evidence ticket without providing the USER_NO_AUTH_DATA_REQUIRED flag.
Gleichzeitig hat Microsoft per Mail die nachfolgende Informationen zu Änderungen, die durch die April 2021-Updates vorgenommen wurden, verteilt.
*********************************************************
Title: Microsoft Security Update Releases
Issued: April 13, 2021
*********************************************************
Summary
=======
The following CVE has undergone a major revision increment:
– CVE-2020-17049 | Kerberos KDC Security Feature Bypass Vulnerability
– Version 5.0
– Reason for Revision: Microsoft is releasing security updates for the second
deployment phase for this vulnerability. These updates remove the
PerformTicketSignature setting 0. Setting PerformTicketSignature to 0 after this
update is installed will have the same effect as setting PerformTicketSignature
to 1. The Domain Controllers (DC)s will be in Deployment mode. See the FAQ section
of this CVE and [KB4598347](https://support.microsoft.com/help/4598347) for more
information.
– Originally posted: November 10, 2020
– Updated: April 13, 2021
– Aggregate CVE Severity Rating: Important
Damit lässt sich der Erzwingungsmodus nicht mehr abschalten, d.h. es sind die Werte 1 oder 2 gemäß den verlinkten Dokumenten im Registrierungsschlüssel erforderlich. Nähere Informationen finden sich in KB4598347.
Kerberos Authentifizierungsschwachstelle CVE-2020-17049
Sicherheitsforscher hatten 2020 in allen Windows Server-Versionen ab Windows Server 2008 R2 SP1 bis hoch zu Windows Server 20H2 die Kerberos Authentifizierungsschwachstelle CVE-2020-17049 gefunden. Grob gesagt kann ein Angreifer unter bestimmten Randbedingungen mit ungültigen Kerberos Service-Tickets eine Authentifizierung vornehmen. Dazu wurde der Artikel Managing deployment of Kerberos S4U changes for CVE-2020-17049 mit Hinweisen zur Schwachstelle und zu deren Beseitigung veröffentlicht.
Anzeige
Im November 2020 rollte Microsoft einen ersten Fix für eine Kerberos Authentifizierungsschwachstelle (CVE-2020-17049) im Domain Controller für alle Windows Server-Systeme aus (siehe Windows-Sonderupdates: Fix für Kerberos-Authentication-Problem). Allerdings gab es Probleme und zum 8. Dezember 2020 hat Microsoft dann weitere Updates zum Schließen dieser Kerberos Authentifizierungsschwachstelle CVE-2020-17049 freigegeben (Microsoft patcht Windows Kerberos-Schwachstelle CVE-2020-16996 mit Dez. 2020-Updates).
Ähnliche Artikel:
Windows-Sonderupdates: Fix für Kerberos-Authentication-Problem
Microsoft Update- und Sicherheitshinweise 8. und 10. Dez. 2020
Microsoft patcht Windows Kerberos-Schwachstelle CVE-2020-16996 mit Dez. 2020-Updates
Weitere Windows-Updates mit Fix für Kerberos-Authentication-Problem (19.11.2020)
Windows-Sonderupdates: Fix für Kerberos-Authentication-Problem
Exploit für Kerberos Authentifizierungsschwachstelle CVE-2020-17049
2015
