Patch Tuesday de implementa erro de autenticação

Patch Tuesday de implementa erro de autenticação. Duas das atualizações do Patch Tuesday da Microsoft precisam ser refeitas depois de causar erros de autenticação baseados em certificado.

Se você atualizou os servidores que executam os Serviços de Certificados do Active Directory e os controladores de domínio do Windows responsáveis ​​pela autenticação baseada em certificado com a atualização do Patch Tuesday de 10 de maio da Microsoft, talvez seja necessário refazer. 

A empresa disse que o patch original para CVE-2022-26931 e CVE-2022-26923 pretendia interromper a falsificação de certificados por meio de escalonamento de privilégios, mas uma consequência não intencional da correção foi uma série de erros de autenticação. Então, apressou um novo patch, disponível a partir de quinta-feira.

Depois de instalar as atualizações originais do Patch Tuesday, vários usuários do Reddit reclamaram de erros de autenticação de certificado no subreddit r/sysadmin Patch Tuesday Megathread de 10 de maio. 

Minhas políticas NPS [Network Policy Server] (com autenticação de certificado) não funcionaram desde a atualização, informando que ‘Falha na autenticação devido a uma incompatibilidade de credenciais do usuário’”, escreveu o usuário do Reddit RiceeeChrispies. “O nome de usuário fornecido não é mapeado para uma conta existente ou a senha estava incorreta.

A Microsoft acrescentou que, uma vez instalada a atualização, não será necessário renovar os certificados de autenticação do cliente. 

A renovação não é necessária“, disse a Microsoft em seu comunicado reconhecendo os erros de autenticação . “A CA será enviada no Modo de Compatibilidade. Se você quiser um mapeamento forte usando a extensão ObjectSID, precisará de um novo certificado.

Resumo

CVE-2022-26931 e CVE-2022-26923 abordam uma vulnerabilidade de elevação de privilégio que pode ocorrer quando o Kerberos Distribution Center (KDC) está atendendo a uma solicitação de autenticação baseada em certificado. Antes da atualização de segurança de 10 de maio de 2022, a autenticação baseada em certificado não levava em conta um cifrão ($) no final de um nome de máquina. Isso permitiu que certificados relacionados fossem emulados (falsificados) de várias maneiras. Além disso, conflitos entre nomes principais de usuário (UPN) e  sAMAccountName introduziram outras vulnerabilidades de emulação (spoofing) que também abordamos com esta atualização de segurança.

Tome uma atitude

Para proteger seu ambiente, conclua as etapas a seguir para autenticação baseada em certificado:

  1. Atualize todos os servidores que executam os Serviços de Certificados do Active Directory e os controladores de domínio do Windows que atendem à autenticação baseada em certificado com a atualização de 10 de maio de 2022 (consulte Modo de compatibilidade ). A atualização de 10 de maio de 2022 fornecerá eventos de auditoria que identificam certificados que não são compatíveis com o modo de aplicação completa.
  2. Se nenhum log de eventos de auditoria for criado em controladores de domínio por um mês após a instalação da atualização, continue habilitando o modo de imposição total em todos os controladores de domínio. Até 9 de maio de 2023, todos os dispositivos serão atualizados para o Full Enforcement Mode. Nesse modo, se um certificado falhar nos critérios de mapeamento fortes (seguros) (consulte Mapeamentos de certificados ), a autenticação será negada.

Fonte: Darkreading & Microsoft

 

Veja também:

Sobre mindsecblog 1762 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!