Blog

CVE-2022-37967 Kerberos Protokolü Değişiklik Adımları

Microsoft, 8 Kasım 2022 tarihinde yayımladığı bir güncelleme ile Privilege Attribute Certificate (PAC) imzası güveliğini ve yetki yükseltme güvenlik açıklarını giderdiğini duyurdu ve Kerberos protokolü için değişiklik adımların duyurmuştu.

Nisan güncellemesi ile beraber güncellemenin üçüncü dağıtımı gerçekleşmeye başlayacak.

Privilege Attribute Certificate (PAC) Nedir?

Privilege Attribute Certificate (PAC), kimliği doğrulanan kullanıcı ve yetkileri hakkında bilgi içeren Kerberos hizmetinin bir uzantısı olarak tanımlanmaktadır. Kullanıcılar kimlik doğrulaması yaptığında PAC gerekli bilgileri Kerberos biletine eklemektedir, kerberos ticket sistemi diğer kullanılan sistemlerde doğrulama yapmak için kullanıldığında, DC sorgulaması yapma ihtiyacı duymadan tüm bilgileri PAC üzerinden elde edebilmektedir.

Bu sebepten dolayı PAC ortam içerisinde çok fazla hassas bilgi içermektedir, bundan dolayı Active Directory saldırı tekniklerinin bir parçası olarak gözükmektedir.

CVE-2022-37967 Active Directory Güncelleme Adımları

Microsoft bu güncelleme ile ilgili değişiklikleri adım adım yayınlayacağını ve ilgili güncellemelerin yol haritasını ile ilgili bilgilendirme sağlamıştı, Nisan ayında üçüncü adıma geçmiş olacağız. Bu yazımızda ise ilgili adımları ve yapılması gerekenlerden bahsedeceğiz.

Güncellemeler sonrası yapılan tüm işlemleri tüm DC sunucularınızın üzerinde gerçekleştirmeniz gerekmektedir.

8 Kasım 2022 Güncellemenin İlk Adımı

İlk güncellleme ile beraber ekleyeceğimiz Regedit anahtarı Kerberos PAC imzası eklemeye devam eder ama kimlik doğrulaması sırasında imza denetlemesi gerçekleştirmez. İlk adımla beraber güvenli mod geçici olarak devre dışı bırakılmaktadır.

Bu kayıt sonrası Kerberos ve Netlogon protokol LOG’larını incelemeniz gerekmektedir.

8 Kasım 2022 güncellemesinden sonra eklemeniz gereken anahtar aşağıdaki gibidir, ilgili anahtar 10 Ekim 2023 güncellemesinden sonra OS tarafından okunmayacaktır.

  • HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
  • KrbtgtFullPacSignature
  • REG_DWORD

Data:

  • 0- Disabled
  • 1- Yeni imzalar eklenir, ancak doğrulanmaz. (Varsayılan ayar)
  • 2- Denetim modu etkinleştirir, imza eklenmeye devam eder ve imza bulunursa doğrulama işlemi gerçekleştirir.
  • 3- Zorlama modunu etkinleştirir. İmza eklenir ve doğrulama işlemi yapar. İmza eksikse veya geçersizse kimlik doğrulama işlemi gerçekleşmez.

İlgili Makaleler

Bir Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu