查看原文
其他

微软发布带外更新,紧急修复 Kerberos 认证问题

Ionut Arghire 代码卫士 2022-05-25

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队


提要

上周,微软发布了 Windows 带外更新,解决了多个和最近已修复 Kerberos 漏洞相关的认证问题。


这些问题和CVE-2020-17049 中的 PerformTicketSignature 注册子钥值有关。该漏洞是存在于 Kereberos Key Distribution Center (KDC) 中的一个安全特征绕过漏洞,微软于2020年11月补丁星期二修复。

微软在安全公告中指出,CVE-2020-17049存在于 KDC 判断工单是否可通过 Kerberos Constrianed Delegation (KCD) 派发的方式中。微软在说明中指出,“要利用该漏洞,配置为使用 KCD 的受陷服务可遭无授权服务工单强迫 KDC 接受它。安全更新修改了 KDC 验证了使用 KDC 的服务工单的方式解决了这个漏洞。”

上周,微软披露称已发现可发生在可写及只读域名控制器 (DC) 上的一系列问题,即 PerformTicketSignature 设置为1(默认情况)时,非 Windows Kerberos 客户端未更新工单且 S4UProxy 授权失败,而当 PerformTicketSignature 设为0时服务失败。

微软解释称,“目前微软 Update Catalog 已发布带外可选更新,解决了影响 Kerberos 认证的一个已知问题。工单更新和其它任务如计划任务和集群等可能失败。该问题仅影响 Windows Servers 以及企业环境中的Windows 10 设备和应用程序。

微软建议称,受影响组织机构在域名控制器上安装带外更新即可。另外,微软警告称,企业在安装更新时应该意识到和微软 Input Method Editor (IME) (日语版和中文版)有关的某些问题。

除了在环境中为所有 DC 和 RODC (只读域名控制器)部署更新外,上周,微软(日本)提供了一系列建议,供管理员解决这类问题。




推荐阅读
奇安信代码安全实验室帮助微软修复高危漏洞,获官方致谢
两个基于 PowerShell 的新后门盯上微软 Exchange 服务器




原文链接

https://www.securityweek.com/microsoft-releases-out-band-update-kerberos-authentication-issues


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。


奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存