{"id":305603,"date":"2024-10-30T11:50:47","date_gmt":"2024-10-30T10:50:47","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=305603"},"modified":"2024-10-30T12:10:35","modified_gmt":"2024-10-30T11:10:35","slug":"kerberos-pac-schwachstellen-kommt-das-ende-fuer-windows-xp-im-april-2025","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/10\/30\/kerberos-pac-schwachstellen-kommt-das-ende-fuer-windows-xp-im-april-2025\/","title":{"rendered":"Kerberos PAC-Schwachstellen: Kommt das Ende f\u00fcr Windows XP im April 2025?"},"content":{"rendered":"

\"Windows\"[English]Microsoft hat im April 2024 ein Update f\u00fcr die Schwachstellen CVE-2024-26248 und CVE-2024-29056 im Kerberos-Protokoll ver\u00f6ffentlicht. Im April 2025 soll die Absicherung zwangsweise aktiviert werden. Das schl\u00e4gt auf \u00e4ltere Betriebssysteme wie Windows XP durch, die keine Updates mehr bekommen, aber in Maschinensteuerungen verwendet werden. Es d\u00fcrfte dann kein Zugriff auf das Active Directory mehr funktionieren, sobald die Domain Controller gepatcht und der Enforcement-Modus aktiviert wird.<\/p>\n

<\/p>\n

Die Kerberos PAC-Schwachstellen<\/h2>\n

\"\"Im Kerberos-Protokoll wurden im Fr\u00fchjahr 2024 Schwachstellen bekannt, die eine Erh\u00f6hung von Berechtigungen mit dem Kerberos PAC Validation Protocol erm\u00f6glichen.\u00a0Mit den April 2024-Updates hat Microsoft auch am Privilege Attribute Certificate (PAC) \u00c4nderungen vorgenommen, um auf die Schwachstellen CVE-2024-26248<\/a> und\u00a0CVE-2024-29056<\/a> zu reagieren. Das Privilege Attribute Certificate (PAC) ist eine Erweiterung der Kerberos-Diensttickets. Es enth\u00e4lt Informationen \u00fcber den authentifizierenden Benutzer und seine Berechtigungen.<\/p>\n

Microsoft hat im April 2024 dazu den Support-Beitrag KB5037754: How to manage PAC Validation changes related to CVE-2024-26248 and CVE-2024-29056<\/a> ver\u00f6ffentlicht. Mit den Updates vom 9. April 2024 werden die Schwachstellen aber nicht vollst\u00e4ndig geschlossen. Dieser Schritt 1 bereitet Windows aber auf das Schlie\u00dfen der Schwachstellen vor. Im Support-Beitrag hat Microsoft entsprechende Hinweise f\u00fcr Administratoren hinterlassen, dass Windows-Dom\u00e4nencontroller und Windows-Clients mit einem Windows-Sicherheitsupdate aktualisiert werden m\u00fcssen, das am oder nach dem 9. April 2024 ver\u00f6ffentlicht wurde.<\/p>\n

Erst der Enforcement Modus schlie\u00dft Schwachstellen<\/h2>\n

Um die Schwachstellen f\u00fcr alle Ger\u00e4te vollst\u00e4ndig zu entsch\u00e4rfen, m\u00fcssen Administratoren den Enforcement Modus (erzwungener Modus) im Anschluss an die Update-Installation aktivieren. Wie das manuell geht, ist im Support-Beitrag beschrieben. Aber Microsoft beginnt 2025 mit dem Erzwingen der Absicherung.<\/p>\n

Ab Januar 2025 aktivieren die Sicherheitsupdates bei allen Windows-Dom\u00e4nencontrollern und Clients den Enforcement Modus, in dem standardm\u00e4\u00dfig ein sicheres Verhalten\u00a0 f\u00fcr PAC erzwungen wird.<\/p>\n

Diese Verhaltens\u00e4nderung erfolgt, nachdem das Update die Registrierungsunterschl\u00fcssel-Einstellungen auf PacSignatureValidationLevel=3<\/em> und CrossDomainFilteringLevel=4<\/em> ge\u00e4ndert hat. Der Enforcement Modus kann aber von einem Administrator noch au\u00dfer Kraft gesetzt werden, um zum Kompatibilit\u00e4tsmodus zur\u00fcckzukehren. Die Details zu den entsprechenden Registrierungseinstellungen sind im oben verlinkten Microsoft Support-Beitrag beschrieben.<\/p>\n

Die Windows-Sicherheitsupdates, die ab April 2025 ver\u00f6ffentlicht werden, entfernen die Unterst\u00fctzung f\u00fcr den Kompatibilit\u00e4tsmodus \u00fcber die Registrierungsunterschl\u00fcssel PacSignatureValidationLevel<\/em> und CrossDomainFilteringLevel<\/em> und erzwingen das neue Sicherheitsverhalten. Nach der Installation des Updates vom April 2025 gibt es keine Unterst\u00fctzung f\u00fcr den Kompatibilit\u00e4tsmodus mehr.<\/p>\n

Microsoft weist auf Probleme hin<\/h2>\n

Microsoft weist im Support-Beitrag darauf hin, dass potenziell Probleme mit der PAC-H\u00e4rtung auftreten k\u00f6nnen. Dazu geh\u00f6ren beispielsweise die PAC-Validierung und Cross-Forest-Filterungsfehler. Daher enthielt das Sicherheitsupdate vom 9. April 2024 die oben beschriebene Fallback-Logik und Registrierungseinstellungen f\u00fcr den Kompatibilit\u00e4tsmodus, um diese Probleme zu entsch\u00e4rfen.<\/p>\n

Microsoft hat im Supportbeitrag zudem den Hinweis gegeben, dass Administratoren die Protokolle der Ereignisanzeige anschauen sollen. Denn auf dem Kerberos-Server, der die eingehende Kerberos-Authentifizierung akzeptiert, k\u00f6nnen Kerberos-Audit-Ereignisse erzeugt werden. Dieser Kerberos-Server f\u00fchrt die PAC-Validierung durch, die den neuen Netzwerkticket-Anmeldefluss verwendet.<\/p>\n

Ich hatte im Blog-Beitrag\u00a0Probleme mit Remote-Unterst\u00fctzung nach April 2024-Update (PAC-\u00c4nderungen, KB5037754)<\/a> auf entsprechende Probleme bei der Remote-Unterst\u00fctzung hingewiesen.<\/p>\n

Problem: Windows XP in Maschinensteuerungen<\/h2>\n

Blog-Leser Andy M. hatte mich bereits Mitte Oktober 2024 per Mail kontaktiert, weil das obige Thema ihm auf den N\u00e4geln brennt. Er meinte dazu, dass sie im Unternehmen \"letzte Woche\" die Info bekommen haben, dass im April 2024 eine L\u00fccke im Kerberos-Protokoll gepatcht wurde, aber nicht zwingend aktiv ist. Diese soll aber im April 2025 zwangsaktiviert werden – also genau das Szenario, das ich oben skizziert habe.<\/p>\n

Von Kollegen anderer Firmen wurden die Administratoren im Umfeld des Lesers dann auf einen Gesichtspunkt hingewiesen, der massive Auswirkungen hat: Ger\u00e4te, die noch mit Windows XP ausgestattet sind, sollen ab sp\u00e4testens April 2025 nicht mehr funktionieren, nachdem der Enforcement Modus mit dem betreffenden Update zum April 2025-Patchday auf den Domain Controllern aktiviert wird.<\/p>\n

Denn dann k\u00f6nnen die Clients nicht mehr \u00fcber das Kerberos-Protokoll mit einem gepatchten Active Directory-Server kommunizieren (die Kerberos PAC-Validierung scheitert). Da l\u00e4sst sich imho auch nichts machen, da f\u00fcr Windows XP die PAC-Patches nicht mehr bereitgestellt werden.<\/p>\n

Der Leser schrieb, dass auch andere (\u00e4ltere) Betriebssysteme, denen gewisse Patch-Level fehlen, dann nicht mehr funktionieren, sofern sie mit einem gepatchten Active Directory (AD) kommunizieren m\u00fcssen.<\/p>\n

Die Frage, die den Leser umtreibt: Ist die obige Annahme, dass Windows XP-Ger\u00e4te ab April 2025 von der Kerberos-Authentifizierung am Active Directory ausgesperrt sind, zutreffend und was funktioniert dann nicht mehr?<\/p>\n

Dazu schrieb der Leser: \"Da wir leider immer noch gewisse XP-Clients im Einsatz haben (Maschinen in der Produktion \u2013 Abl\u00f6sung nur durch sehr hohe Kosten m\u00f6glich), haben wir vermutlich das Thema dass hier die Windows XP Clients und ggfs. auch Windows 7 aus dem Raster fliegt. Leider findet man nicht all zu viel \u00fcber die Auswirkungen: Was funktioniert danach alles nicht mehr bei einem \u00e4lteren Client? Findet die Kommunikation dann anstatt per Kerberos dann via NTLM statt? Ist das Lesen des Netlogon-Shares wenigstens noch m\u00f6glich? <\/em>\"<\/p>\n

In einer Erg\u00e4nzungsmail von gestern schreibt er, dass die Administratoren in ihrer Umgebung die ben\u00f6tigten Registrierungseintr\u00e4ge gesetzt haben, um Eventlog-Eintr\u00e4ge von der Kerberos-PAC-Authentifizierung zu bekommen. Es werden jedoch werden keine Eintr\u00e4ge geschrieben.<\/p>\n

Der Leser zieht den Schluss, dass danach keine entsprechenden Clients, die die Kerberos-PAC-Validierung nicht bestehen, existieren. Das kann eigentlich nicht sein, da er sich 100 % sicher ist, dass solche Clients im Netzwerk vorhanden und am Active Directory angebunden sind. Er meint, dass der Registrierungseintrag f\u00fcr das Eventlog nicht korrekt umgesetzt wird. M\u00f6glicherweise liegt es aber auch daran, dass der Enforcement Modus noch nicht aktiviert ist.<\/p>\n

Ich gebe die Fragen des Lesers \"Ist das Thema schon mal angesprochen worden und stehen auch andere vor dem Problem?\"<\/em> damit an die Leserschaft des Blogs weiter.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft Security Update Summary (9. April 2024)<\/a>
\nPatchday: Windows 10-Updates (9. April 2024)<\/a>
\nPatchday: Windows 11\/Server 2022-Updates (9. April 2024)<\/a>
\nWindows Server 2012 \/ R2 und Windows 7 (9. April 2024)<\/a>
\nWindows Server: April 2024-Updates st\u00f6ren NTLM-Authentifizierung<\/a>
\nProbleme mit Remote-Unterst\u00fctzung nach April 2024-Update (PAC-\u00c4nderungen, KB5037754)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat im April 2024 ein Update f\u00fcr die Schwachstellen CVE-2024-26248 und CVE-2024-29056 im Kerberos-Protokoll ver\u00f6ffentlicht. Im April 2025 soll die Absicherung zwangsweise aktiviert werden. Das schl\u00e4gt auf \u00e4ltere Betriebssysteme wie Windows XP durch, die keine Updates mehr bekommen, aber … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-305603","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305603","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=305603"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305603\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=305603"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=305603"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=305603"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}