CVE-2022-37967 Kerberos Protokolü Değişiklik Adımları

Cengiz YILMAZ

Microsoft, 8 Kasım 2022 tarihinde yayımladığı bir güncelleme ile Privilege Attribute Certificate (PAC) imzası güveliğini ve yetki yükseltme güvenlik açıklarını giderdiğini duyurdu ve Kerberos protokolü için değişiklik adımların duyurmuştu.

Nisan güncellemesi ile beraber güncellemenin üçüncü dağıtımı gerçekleşmeye başlayacak.

Privilege Attribute Certificate (PAC) Nedir?

Privilege Attribute Certificate (PAC), kimliği doğrulanan kullanıcı ve yetkileri hakkında bilgi içeren Kerberos hizmetinin bir uzantısı olarak tanımlanmaktadır. Kullanıcılar kimlik doğrulaması yaptığında PAC gerekli bilgileri Kerberos biletine eklemektedir, kerberos ticket sistemi diğer kullanılan sistemlerde doğrulama yapmak için kullanıldığında, DC sorgulaması yapma ihtiyacı duymadan tüm bilgileri PAC üzerinden elde edebilmektedir.

Bu sebepten dolayı PAC ortam içerisinde çok fazla hassas bilgi içermektedir, bundan dolayı Active Directory saldırı tekniklerinin bir parçası olarak gözükmektedir.

CVE-2022-37967 Active Directory Güncelleme Adımları

Microsoft bu güncelleme ile ilgili değişiklikleri adım adım yayınlayacağını ve ilgili güncellemelerin yol haritasını ile ilgili bilgilendirme sağlamıştı, Nisan ayında üçüncü adıma geçmiş olacağız. Bu yazımızda ise ilgili adımları ve yapılması gerekenlerden bahsedeceğiz.

Güncellemeler sonrası yapılan tüm işlemleri tüm DC sunucularınızın üzerinde gerçekleştirmeniz gerekmektedir.

8 Kasım 2022 Güncellemenin İlk Adımı

İlk güncellleme ile beraber ekleyeceğimiz Regedit anahtarı Kerberos PAC imzası eklemeye devam eder ama kimlik doğrulaması sırasında imza denetlemesi gerçekleştirmez. İlk adımla beraber güvenli mod geçici olarak devre dışı bırakılmaktadır.

Bu kayıt sonrası Kerberos ve Netlogon protokol LOG’larını incelemeniz gerekmektedir.

8 Kasım 2022 güncellemesinden sonra eklemeniz gereken anahtar aşağıdaki gibidir, ilgili anahtar 10 Ekim 2023 güncellemesinden sonra OS tarafından okunmayacaktır.

Data:

Exit mobile version