{"id":279990,"date":"2023-04-20T16:03:32","date_gmt":"2023-04-20T14:03:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=279990"},"modified":"2023-09-12T08:28:40","modified_gmt":"2023-09-12T06:28:40","slug":"windows-april-2023-updates-netlogon-und-kerberos-protokoll-nderungen-es-gibt-probleme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/04\/20\/windows-april-2023-updates-netlogon-und-kerberos-protokoll-nderungen-es-gibt-probleme\/","title":{"rendered":"Windows April 2023 Updates: Netlogon- und Kerberos Protokoll-Änderungen, es gibt Probleme"},"content":{"rendered":"

\"Windows\"[English<\/a>]Microsoft hat seine Zeitpl\u00e4ne zur stufenweisen Anpassung am Netlogon-Protokoll (wegen CVE-2022-38023) und am Kerberos-Protokoll zwar vom 11. April 2023 auf den 13. Juni 2023 verschoben. Aber mit dem Windows-Update vom 11. April 2023 wurde bereits die M\u00f6glichkeit entfernt, die RPC-Versiegelung (RPC Sealing) in der Registry zu deaktivieren. Inzwischen werden erste Probleme gemeldet und ein Microsoft-Mitarbeiter hat Administratoren gerade aufgefordert, die Systeme zu testen, wie ich auf Twitter gesehen habe.<\/p>\n

<\/p>\n

\"\"Im November 2022 hatte Microsoft mit seinen Sicherheitsupdates eine stufenweise \u00c4nderung am Netlogon- und Kerberos-Protokoll eingeleitet, die bis Oktober 2023 dauern soll. Grund sind Schwachstellen (CVE-2022-38023 und CVE-2022-37967) in Windows. Administratoren m\u00fcssen entsprechend reagieren, um sicherzustellen, dass diese \u00c4nderungen in der Netzwerkkommunikation ber\u00fccksichtig werden (siehe mein Blog-Beitrag November 2022-Updates f\u00fcr Windows: \u00c4nderungen am Netlogon- und Kerberos-Protokoll<\/a>). Die n\u00e4chste \u00c4nderung sollte zum 11. April 2023 greifen – ich hatte im Blog-Beitrag \u00c4nderungen an den Windows Sicherheitseinstellungen in 2023<\/a> darauf hingewiesen.<\/p>\n

Sicherheitsupdates vom April 2023<\/h2>\n

Zum April 2023 hatte Microsoft dann eigentlich den n\u00e4chsten Schritt geplant, indem der sogenannte Erzwingungsmodus f\u00fcr die RPC-Versiegelung (RPC Sealing) aktiviert werden sollte. Dieser Schritt wurde durch Microsoft aber auf den 11. Juni 2023 verschoben, wie man im Support-Beitrag KB5021130: How to manage the Netlogon protocol changes related to CVE-2022-38023<\/a> und im Beitrag KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967<\/a> nachlesen kann. Dort steht:<\/p>\n

April 5, 2023:<\/b> Moved the \"Enforcement by Default\" phase of the registry key from April 11, 2023 to June 13, 2023 in the \"Timing of updates to address CVE-2022-38023\" section.<\/p><\/blockquote>\n

Allerdings hei\u00dft es im Support-Beitrag KB5021130: How to manage the Netlogon protocol changes related to CVE-2022-38023<\/a> auch, dass das Sicherheitsupdate vom 11. April 2023 (also vom April 2023-Patchday) die Initial Inforcement-Phase einleite.<\/p>\n

The Windows updates released on or after April 11, 2023 will remove the ability to disable RPC sealing by setting value 0<\/b> to the RequireSeal<\/b> registry subkey.<\/p><\/blockquote>\n

Ist das April 2023-Update unter Windows installiert, l\u00e4sst sich RPC sealing durch Setzen des Registrierungswerts RequireSeal <\/em>auf 0 nicht mehr deaktivieren. Beim KrbtgtFullPacSignature-<\/em>Schl\u00fcssel tritt wird der Enforcement Modus erst zum 13. Juni 2023 aktiv (siehe KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967<\/a>). Die April 2023-Patches k\u00f6nnen bei KrbPAC & RPCNetLogonSeal aber bereits jetzt f\u00fcr St\u00f6rungen sorgen.<\/p>\n

St\u00f6rungen durch April 2023-Update<\/h2>\n

Blog-Leser Florian T. hat mich bereits zum 12. April 2023 per E-Mail auf m\u00f6gliche Probleme im Zusammenhang mit den Protokoll\u00e4nderungen hingewiesen und schrieb dazu.<\/p>\n

Hallo Herr Born,<\/p>\n

ein Tipp f\u00fcr einen Artikel: Der Patch f\u00fcr Kerberos PAC Signaturen geht in seine dritte Phase und enforced die Kerberos PAC Signatur (krb pac Abschaltung wird deaktiviert). Zur Analyse, wo diese fehlt, siehe Windows Eventlog Eventid 43 bzw 44 nutzen.<\/p>\n

Der Patch der RPC Netlogon Sealing erzwingt und RPC Netlogon Signing entfernt war ebenfalls dabei. Kann durch Windows Eventlog Eventids 5838-5841 vorab analysiert werden.<\/p>\n

Mancher Hersteller hat schon Warnungen f\u00fcr Outages ver\u00f6ffentlicht, z.B. Netapp und Ivanti vpn (ehemals pulsevpn).<\/p><\/blockquote>\n

\"Netlogon<\/p>\n

Obiger Screenshot zeigt den Ausriss aus einem der nachfolgenden Microsoft Support-Artikel auf die Florian in seiner Mail verlinkt (danke daf\u00fcr).<\/p>\n