KB4598347: Änderungen an Kerberos S4U für CVE-2020-17049 (13.4.2021)

Kleiner Nachtrag von letzter Woche als Information: Microsoft hat zum 13. April 2021 erneut Änderungen bei AD DC-Systemen vorgenommen, um die Authentifizierungs-Schwachstelle CVE-2020-17049 im Kerberos-Ticketing zu stopfen. Mit den Updates vom 13. April 2021 (Patchday) wurde die Möglichkeit, den Registrierungswert PerformTicketSignature=0 zu setzen, entfernt.


Anzeige

Weiterer Eingriff zum 13. April 2021

Ich hatte es nur am Rande mitbekommen, im Blog-Beitrag Patchday: Windows 10-Updates (13. April 2021) findet sich der Hinweise auf weitere Änderungen im Hinblick auf die Kerberos Authentifizierungsschwachstelle CVE-2020-17049.

Addresses an issue in which a principal in a trusted MIT realm fails to obtain a Kerberos service ticket from Active Directory domain controllers (DC). This occurs on devices that installed Windows Updates that contain CVE-2020-17049 protections and configured PerfromTicketSignature to 1 or higher. These updates were released between November 10, 2020 and December 8, 2020. Ticket acquisition also fails with the error, "KRB_GENERIC_ERROR", if callers submit a PAC-less Ticket Granting Ticket (TGT) as an evidence ticket without providing the USER_NO_AUTH_DATA_REQUIRED flag.

Gleichzeitig hat Microsoft per Mail die nachfolgende Informationen zu Änderungen, die durch die April 2021-Updates vorgenommen wurden, verteilt.

*********************************************************
Title: Microsoft Security Update Releases
Issued: April 13, 2021
*********************************************************

Summary
=======


Anzeige

The following CVE has undergone a major revision increment:

CVE-2020-17049 | Kerberos KDC Security Feature Bypass Vulnerability
– Version 5.0
– Reason for Revision: Microsoft is releasing security updates for the second
   deployment phase for this vulnerability. These updates remove the
   PerformTicketSignature setting 0. Setting PerformTicketSignature to 0 after this
   update is installed will have the same effect as setting PerformTicketSignature
   to 1. The Domain Controllers (DC)s will be in Deployment mode. See the FAQ section
   of this CVE and [KB4598347](https://support.microsoft.com/help/4598347) for more
   information.
– Originally posted: November 10, 2020
– Updated: April 13, 2021
– Aggregate CVE Severity Rating: Important

Damit lässt sich der Erzwingungsmodus nicht mehr abschalten, d.h. es sind die Werte 1 oder 2 gemäß den verlinkten Dokumenten im Registrierungsschlüssel erforderlich. Nähere Informationen finden sich in KB4598347.

Kerberos Authentifizierungsschwachstelle CVE-2020-17049

Sicherheitsforscher hatten 2020 in allen Windows Server-Versionen ab Windows Server 2008 R2 SP1 bis hoch zu Windows Server 20H2 die Kerberos Authentifizierungsschwachstelle CVE-2020-17049 gefunden. Grob gesagt kann ein Angreifer unter bestimmten Randbedingungen mit ungültigen Kerberos Service-Tickets eine Authentifizierung vornehmen. Dazu wurde der Artikel Managing deployment of Kerberos S4U changes for CVE-2020-17049 mit Hinweisen zur Schwachstelle und zu deren Beseitigung veröffentlicht.

Im November 2020 rollte Microsoft einen ersten Fix für eine Kerberos Authentifizierungsschwachstelle (CVE-2020-17049) im Domain Controller für alle Windows Server-Systeme aus (siehe Windows-Sonderupdates: Fix für Kerberos-Authentication-Problem). Allerdings gab es Probleme und zum 8. Dezember 2020 hat Microsoft dann weitere Updates zum Schließen dieser Kerberos Authentifizierungsschwachstelle CVE-2020-17049 freigegeben (Microsoft patcht Windows Kerberos-Schwachstelle CVE-2020-16996 mit Dez. 2020-Updates).

Ähnliche Artikel:
Windows-Sonderupdates: Fix für Kerberos-Authentication-Problem
Microsoft Update- und Sicherheitshinweise 8. und 10. Dez. 2020
Microsoft patcht Windows Kerberos-Schwachstelle CVE-2020-16996 mit Dez. 2020-Updates
Weitere Windows-Updates mit Fix für Kerberos-Authentication-Problem (19.11.2020)
Windows-Sonderupdates: Fix für Kerberos-Authentication-Problem
Exploit für Kerberos Authentifizierungsschwachstelle CVE-2020-17049


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows Server abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.