{"id":274939,"date":"2022-11-10T11:01:26","date_gmt":"2022-11-10T10:01:26","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=274939"},"modified":"2024-01-24T11:41:48","modified_gmt":"2024-01-24T10:41:48","slug":"november-2022-updates-fr-windows-nderungen-am-netlogon-und-kerberos-protokoll","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/11\/10\/november-2022-updates-fr-windows-nderungen-am-netlogon-und-kerberos-protokoll\/","title":{"rendered":"November 2022-Updates f&uuml;r Windows: &Auml;nderungen am Netlogon- und Kerberos-Protokoll"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/11\/10\/updates-for-windows-nov-2022-changes-in-netlogon-and-kerberos-protocol-causing-issues\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Noch ein kleiner Nachtrag zum November 2022-Patchday. Microsoft hat mit den Sicherheitsupdates vom 8. November 2022 auch eine stufenweise \u00c4nderung am Netlogon- und Kerberos-Protokoll eingeleitet. Das Ganze wird in mehreren Stufen bis Oktober 2023 durchgef\u00fchrt.<br \/>\n<!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/867ea824409e49048dcb728877fe804f\" alt=\"\" width=\"1\" height=\"1\" \/>Grund sind drei Schwachstellen (CVE-2022-38023 und CVE-2022-37967) in Windows 8.1 bis Windows 11 und den Server-Pendants. Administratoren m\u00fcssen entsprechend reagieren, um sicherzustellen, dass diese \u00c4nderungen in der Netzwerkkommunikation ber\u00fccksichtig werden. Blog-Leser Oli hat in <a href=\"https:\/\/borncity.com\/blog\/2022\/11\/09\/microsoft-security-update-summary-8-november-2022\/#comment-135600\" target=\"_blank\" rel=\"noopener\">diesem Kommentar<\/a> auf das Thema hingewiesen (danke daf\u00fcr), welches in <a href=\"https:\/\/www.heise.de\/forum\/heise-online\/Kommentare\/Patchday-Microsoft-Attacken-auf-sechs-Luecken-Exchange-Patches-endlich-da\/November-Updates-auf-Domain-Controllern\/thread-7221838\/#posting_41868844\" target=\"_blank\" rel=\"noopener\">diesem heise-Foreneintrag<\/a> kurz angerissen ist.<\/p>\n<p><strong>Addendum:<\/strong> Microsoft hat ein out-of-band Update zur Korrektur ver\u00f6ffentlicht \u2013 siehe\u00a0<a href=\"https:\/\/borncity.com\/blog\/2022\/11\/18\/out-of-band-updates-korrigieren-kerberos-authentifizierungsprobleme-auf-dcs-17-nov-2022\/\" rel=\"bookmark noopener noreferrer\" data-wpel-link=\"internal\">Out-of-Band-Updates korrigieren Kerberos Authentifizierungsprobleme auf DCs (17. Nov. 2022)<\/a>.<\/p>\n<h2>Schwachstellen in Windows<\/h2>\n<p>Mit den Windows-Updates vom 8. November 2022 werden auch Sicherheitsl\u00fccken in Bezug auf die Umgehung von Sicherheitsvorschriften und die Erh\u00f6hung von Berechtigungen durch PAC-Signaturen (Privilege Attribute Certificate) behoben. Die betreffenden Sicherheitsupdates beheben Kerberos-Schwachstellen, bei denen ein Angreifer PAC-Signaturen digital ver\u00e4ndern und so seine Berechtigungen erh\u00f6hen kann. Betroffen sind folgende Windows-Versionen:<\/p>\n<ul>\n<li>Windows 8.1<\/li>\n<li>Windows RT 8.1<\/li>\n<li>Windows Server 2012<\/li>\n<li>Windows Server 2012 R2<\/li>\n<li>Windows 10\u00a0 Version RTM bis 22H2<\/li>\n<li>Windows 11 Version 22H1 &#8211; 22H2<\/li>\n<li>Windows Server 2016 &#8211; 2022<\/li>\n<li>Windows Server 2022 Azure Stack HCI Version 22H2<\/li>\n<li>Windows 11 SE Version 21H2<\/li>\n<\/ul>\n<p>wobei die obigen CVEs sich teilweise auf Windows Clients und Server, und teilweise nur auf Windows Server beziehen.\u00a0 Microsoft hat dazu verschiedene Support-Beitr\u00e4ge ver\u00f6ffentlicht.<\/p>\n<ul>\n<li><a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967-997e9acc-67c5-48e1-8d0d-190269bf4efb\" target=\"_blank\" rel=\"noopener\">KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967<\/a><\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5021130-how-to-manage-the-netlogon-protocol-changes-related-to-cve-2022-38023-46ea3067-3989-4d40-963c-680fd9e8ee25\" target=\"_blank\" rel=\"noopener\">KB5021130: How to manage the Netlogon protocol changes related to CVE-2022-38023<\/a><\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5021131-how-to-manage-the-kerberos-protocol-changes-related-to-cve-2022-37966-fd837ac3-cdec-4e76-a6ec-86e67501407d\" target=\"_blank\" rel=\"noopener\">KB5021131: How to manage the Kerberos protocol changes related to CVE-2022-37966<\/a><\/li>\n<\/ul>\n<p>Welche Windows-Versionen von welchem CVE genau betroffen sind, l\u00e4sst sich den oben verlinkten KB-Beitr\u00e4gen entnehmen.<\/p>\n<h2>Vorgehen bei der Installation<\/h2>\n<p>Microsoft schreibt, dass die betreffenden Windows-Update auf allen Ger\u00e4ten, einschlie\u00dflich Windows-Dom\u00e4nencontrollern, zu installieren sind, um Ihre Umgebung zu sch\u00fctzen. Wichtig ist dabei, dass alle Dom\u00e4nencontroller in einer Dom\u00e4ne zuerst aktualisiert werden m\u00fcssen. Erst danach darf per Update in den Enforced Modus (erzwungenen Modus) umgeschaltet werden. Microsoft schl\u00e4gt folgende Vorgehensweise vor:<\/p>\n<ol>\n<li>Aktualisieren Sie die Windows-Dom\u00e4nencontroller mit einem Windows-Update, das am oder nach dem 8. November 2022 ver\u00f6ffentlicht wurde.<\/li>\n<li>Versetzen Sie den Windows-Dom\u00e4nencontroller in den Audit-Modus, indem Sie die <a href=\"https:\/\/support.microsoft.com\/en-us\/topic\/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967-997e9acc-67c5-48e1-8d0d-190269bf4efb#registry5020805\" target=\"_blank\" rel=\"noopener\">Registrierungseintr\u00e4ge hier<\/a> verwenden.<\/li>\n<li>\u00dcberwachen Sie die Ereignisse, die im Audit-Modus gespeichert werden, um Ihre Umgebung zu sichern.<\/li>\n<li>Aktivieren Sie den Durchsetzungsmodus, um <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2022-37967\" target=\"_blank\" rel=\"noopener\">CVE-2022-37967<\/a> in Ihrer Umgebung zu beheben.<\/li>\n<\/ol>\n<p>Schritt 1 behebt standardm\u00e4\u00dfig nicht die Sicherheitsprobleme in CVE-2022-37967 f\u00fcr Windows-Ger\u00e4te. Um das Sicherheitsproblem f\u00fcr alle Ger\u00e4te vollst\u00e4ndig zu entsch\u00e4rfen, m\u00fcssen Sie auf allen Windows-Dom\u00e4nencontrollern so bald wie m\u00f6glich in den \u00dcberpr\u00fcfungsmodus (wie in Schritt 2 beschrieben) und anschlie\u00dfend in den Erzwingungsmodus (wie in Schritt 4 beschrieben) wechseln. In Schritt 2 ist folgender Registrierungsschl\u00fcssel:<\/p>\n<pre>HKEY_LOCAL_MACHINE\\System\\currentcontrolset\\services\\kdc<\/pre>\n<p>um den DWORD-Wert <em>KrbtgtFullPacSignature<\/em> zu erg\u00e4nzen. Der Wert kann dabei folgende Zust\u00e4nde annehmen:<\/p>\n<ul>\n<li><b>0<\/b> \u2013 Disabled<\/li>\n<li><b>1<\/b> \u2013 New signatures are added, but not verified. (Default setting)<\/li>\n<li><b>2<\/b> &#8211; Audit mode. New signatures are added, and verified if present. If the signature is either missing or invalid, authentication is allowed and audit logs are created.<\/li>\n<li><b>3<\/b> &#8211; Enforcement mode. New signatures are added, and verified if present. If the signature is either missing or invalid, authentication is denied and audit logs are created.<\/li>\n<\/ul>\n<p>Ab Juli 2023 wird der Erzwingungsmodus auf allen Windows-Dom\u00e4nencontrollern aktiviert und blockiert anf\u00e4llige Verbindungen von nicht konformen Ger\u00e4ten.\u00a0 Zu diesem Zeitpunkt k\u00f6nnen Sie das Update nicht mehr deaktivieren, aber Sie k\u00f6nnen wieder zur Einstellung des \u00dcberpr\u00fcfungsmodus wechseln. Der \u00dcberpr\u00fcfungsmodus wird im Oktober 2023 entfernt, wie im Abschnitt Zeitplan der Updates zur Behebung der Kerberos-Schwachstelle CVE-2022-37967 beschrieben. Microsoft verwendete eine gestufte Vorgehensweise an, um die Sicherheitsprobleme in CVE-2022-37967 f\u00fcr Windows-Ger\u00e4te zu entsch\u00e4rfen. Hier die Termine:<\/p>\n<ul>\n<li>8. November 2022 &#8211; Erste Errichtungsphase<\/li>\n<li>13. Dezember 2022 &#8211; Zweite Errichtungsphase<\/li>\n<li>11. April 2023 &#8211; Dritte Einf\u00fchrungsphase<\/li>\n<li>11. Juli 2023 &#8211; Erste Durchsetzungsphase<\/li>\n<li>10. Oktober 2023 &#8211; Vollst\u00e4ndige Durchsetzungsphase<\/li>\n<\/ul>\n<p>Details und die Registrierungseintr\u00e4ge sind in den oben verlinkten drei KB-Artikeln zu entnehmen.<\/p>\n<h2>Probleme mit gMSA und KDC<\/h2>\n<p><strong>Erg\u00e4nzung:<\/strong> Blog-Leser Marco D. hat mich per Mail auf folgenden <a href=\"\/\/twitter.com\/fabian_bader\/status\/1590339101580222464\" target=\"_blank\" rel=\"noopener\">Twitter-Beitrag<\/a> aufmerksam gemacht, wo Probleme angesprochen werden. <a href=\"https:\/\/twitter.com\/fabian_bader\/status\/1590339101580222464\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Kerberos Issues after Nov. 2022 updates\" src=\"https:\/\/i.imgur.com\/YCyFSd2.png\" alt=\"Kerberos Issues after Nov. 2022 updates\" \/><\/a> Die Kerberos-Pre-Authentifizierung\u00a0 scheitert, weil Kerberos-DC keine Unterst\u00fctzung f\u00fcr den Verschl\u00fcsselungstyp hat. Das tritt nur auf, wenn die Eigenschaft <em>msDS-SupportedEncryptionTypes <\/em>gesetzt ist. Die unterst\u00fctzten Encryption-Type-Flags sind <a href=\"https:\/\/learn.microsoft.com\/en-us\/openspecs\/windows_protocols\/ms-kile\/6cfc7b50-11ed-4b4d-846d-6f08f0812919\" target=\"_blank\" rel=\"noopener\">hier<\/a> dokumentiert. <a href=\"https:\/\/twitter.com\/fabian_bader\/status\/1590355597245186049\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Kerberos Issues after Nov. 2022 updates\" src=\"https:\/\/web.archive.org\/web\/20221110114451\/https:\/\/i.imgur.com\/I3vapWy.png\" alt=\"Kerberos Issues after Nov. 2022 updates\" \/><\/a> Fabian Bader gibt in Folge-Tweet (siehe oben) noch weitere Hinweise, und es gibt eine gr\u00f6\u00dfere Diskussion. <a href=\"https:\/\/twitter.com\/fabian_bader\/status\/1590428401310912512\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Kerberos Issues after Nov. 2022 updates\" src=\"https:\/\/i.imgur.com\/tbhTlZf.png\" alt=\"Kerberos Issues after Nov. 2022 updates\" \/><\/a><\/p>\n<h3>Test-Script, um AD-Objekte zu identifizieren<\/h3>\n<p>Fabian Bader hat auf <a href=\"https:\/\/twitter.com\/fabian_bader\/status\/1590432854399676416\" target=\"_blank\" rel=\"noopener\">Twitter<\/a> einen <a href=\"https:\/\/gist.github.com\/f-bader\/4fc517bc6fe61a3d6cf534958e0c8003\" target=\"_blank\" rel=\"noopener\">Link auf GitHub<\/a> ver\u00f6ffentlicht. Das dort gepostete PowerShell-Skript kann man verwenden, um jedes m\u00f6glicherweise vom CVE-2022-37966-Bug betroffene AD-Objekt zu identifizieren.<\/p>\n<pre>Get-ADobject -LDAPFilter \"(&amp;(!(msDS-SupportedEncryptionTypes:1.2.840.113556.1.4.803:=4))(|(msDS-SupportedEncryptionTypes:1.2.840.113556.1.4.803:=16)(msDS-SupportedEncryptionTypes:1.2.840.113556.1.4.803:=8)))\" -Properties msDS-SupportedEncryptionTypes | Select DistinguishedName, msDS-SupportedEncryptionTypes<\/pre>\n<p>Er schreibt dazu: <em>Die Einstellung auf 28 (RC4+AES128+AES256) kann eine Abhilfe sein, aber testen Sie dies oder halten Sie sich mit dem Patching zur\u00fcck<\/em>. Noch jemand mit diesem Problem?<\/p>\n<blockquote><p><strong>Erg\u00e4nzung:<\/strong> Im englischen Blog gibt es <a href=\"https:\/\/borncity.com\/win\/2022\/11\/10\/updates-for-windows-nov-2022-changes-in-netlogon-and-kerberos-protocol-causing-issues\/#comment-15566\" target=\"_blank\" rel=\"noopener\">einen Kommentar<\/a>, dass die Abfrage im Script den Wert 16 anstelle von 6 haben sollte.\u00a0 Der Autor des Original-Script hat es inzwischen korrigiert und ich habe dies auch oben ber\u00fccksichtigt.<\/p><\/blockquote>\n<h3>Microsoft untersucht das Problem<\/h3>\n<p>Inzwischen ist das Problem auch bei Microsoft angekommen. Microsoft Mitarbeiter Steve Syfuhs hat <a href=\"https:\/\/twitter.com\/SteveSyfuhs\/status\/1590417822030917632\" target=\"_blank\" rel=\"noopener\">auf Twitter<\/a> bereits reagiert und schreibt:<\/p>\n<blockquote><p>Not official guidance, but we're seeing reports where certain auths are failing when users have their msDS-SupportedEncryptionTypes attribute explicitly being set to AES only (decimal 24, hex 0x18). We have another update to the KB pending, with official guidance and cause of the issue. More to follow.<\/p><\/blockquote>\n<p>Aktuell sollten Administratoren im Bereich Domain Controller also mit der Installation der Updates zur\u00fcckhaltend sein,<\/p>\n<blockquote><p><strong>Erg\u00e4nzung: <\/strong>Auf reddit.com gibt es <a href=\"https:\/\/web.archive.org\/web\/20221115232358\/https:\/\/www.reddit.com\/r\/sysadmin\/comments\/ypbpju\/patch_tuesday_megathread_20221108\/\" target=\"_blank\" rel=\"noopener\">diesen Mega-Thread<\/a> zu Problemen (danke an 1ST1 f\u00fcr den Link), wo Hinweise auf die Kerberos-Problematik &#8211; inklusive Integration von Redhat Linux zu finden sind.<\/p><\/blockquote>\n<p>Erg\u00e4nzung: Microsoft hat das Problem inzwischen best\u00e4tigt, siehe\u00a0<a href=\"https:\/\/borncity.com\/blog\/2022\/11\/14\/microsoft-besttigt-kerberos-authentifizierungsprobleme-nach-nov-2022-updates\/\">Microsoft best\u00e4tigt Kerberos Authentifizierungsprobleme nach Nov. 2022 Updates<\/a>.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2022\/11\/02\/microsoft-office-updates-1-november-2022\/\">Microsoft Office Updates (1. November 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/11\/09\/microsoft-security-update-summary-8-november-2022\/\">Microsoft Security Update Summary (8. November 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/11\/09\/patchday-windows-10-updates-8-november-2022\/\">Patchday: Windows 10-Updates (8. November 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/11\/09\/patchday-windows-11-server-2022-updates-8-november-2022\/\">Patchday: Windows 11\/Server 2022-Updates (8. November 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/11\/09\/windows-7-server-2008-r2-windows-8-1-server-2012-r2-updates-8-november-2022\/\">Windows 7\/Server 2008 R2; Windows 8.1\/Server 2012 R2: Updates (8. November 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/11\/10\/patchday-microsoft-office-updates-8-november-2022\/\">Patchday: Microsoft Office Updates (8. November 2022)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Noch ein kleiner Nachtrag zum November 2022-Patchday. Microsoft hat mit den Sicherheitsupdates vom 8. November 2022 auch eine stufenweise \u00c4nderung am Netlogon- und Kerberos-Protokoll eingeleitet. Das Ganze wird in mehreren Stufen bis Oktober 2023 durchgef\u00fchrt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[123,426,7862,185,301,2557],"tags":[4307,8350,4328,4315,3288],"class_list":["post-274939","post","type-post","status-publish","format-standard","hentry","category-netzwerk","category-sicherheit","category-stoerung","category-update","category-windows","category-windows-server","tag-netzwerk","tag-patchday-11-2022","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274939","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=274939"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274939\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=274939"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=274939"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=274939"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}