Η Microsoft εργάζεται για τη διόρθωση ενός σφάλματος στο update KB4586786 που κυκλοφόρησε την προηγούμενη εβδομάδα το οποίο προκαλεί bug στο χαρακτηριστικό ασφαλείας Kerberos Key Distribution Center (KDC).
Η Microsoft έχει επισημάνει το ζήτημα που επηρεάζει συστήματα που έχουν εγκαταστήσει την ενημερωμένη έκδοση κώδικα KB4586786 για το σφάλμα CVE-2020-17049, μία από τις 112 ευπάθειες που αντιμετωπίστηκαν στην Patch Tuesday του Νοεμβρίου 2020.
Το Kerberos είναι ένα πρωτόκολλο ελέγχου ταυτότητας client-server που χρησιμοποιείται σε πολλά λειτουργικά συστήματα, συμπεριλαμβανομένων των Windows. Η Microsoft προσπάθησε να διορθώσει μια παράκαμψη στο Kerberos KDC, μια δυνατότητα που χειρίζεται tickets για την κρυπτογράφηση μηνυμάτων μεταξύ server και client.
“Μετά την εγκατάσταση του KB4586786 σε domain controllers (DCs) και read-only domain controllers (RODCs) στο περιβάλλον σας, ενδέχεται να αντιμετωπίσετε προβλήματα ελέγχου ταυτότητας Kerberos”, σημειώνει η Microsoft στη σελίδα γνωστών ζητημάτων για όλες τις υποστηριζόμενες εκδόσεις των Windows 10.
“Αυτό οφείλεται (σε ένα πρόβλημα) στον τρόπο που παραδόθηκε το CVE-2020-17049 σε αυτές τις ενημερώσεις.”
Η ενημέρωση κώδικα επηρεάζει μόνο τους Windows Servers, τις συσκευές των Windows 10 και τις εφαρμογές σε εταιρικά περιβάλλοντα, σύμφωνα με τη Microsoft.
Η Microsoft αντιμετώπισε την ευπάθεια αλλάζοντας τον τρόπο με τον οποίο το KDC επικυρώνει τα service tickets που χρησιμοποιούνται με το Kerberos Constrained Delegation (KCD) επειδή υπήρχε ένα ζήτημα παράκαμψης στον τρόπο με τον οποίο το KDC καθορίζει εάν ένα service token μπορεί να χρησιμοποιηθεί για την εξουσιοδότηση του KCD.
Η Microsoft εξηγεί ότι υπάρχουν τρεις τιμές ρύθμισης μητρώου – 0, 1 και 2 – για το PerformTicketSignature για τον έλεγχο, αλλά οι διαχειριστές ενδέχεται να αντιμετωπίσουν διαφορετικά ζητήματα με κάθε ρύθμιση.
“Αναλύουμε τις πληροφορίες και θα παράσχουμε μια ενημέρωση μόλις υπάρξουν περισσότερες πληροφορίες”, σημειώνει η Microsoft.
Η Microsoft έχει επίσης αναθεωρήσει τις οδηγίες της για το update. Συνιστάται στους διαχειριστές να εντοπίσουν το δευτερεύον κλειδί μητρώου KDC και, εάν υπάρχει στο σύστημα, να βεβαιωθούν ότι έχει οριστεί σε 1. Στη συνέχεια, οι διαχειριστές πρέπει να ολοκληρώσουν την ανάπτυξη σε όλα τα DCs – και τα Read-Only DCs.
“Σημειώστε ότι ακολουθώντας την αρχική μας οδηγία για τη χρήση της ρύθμισης 0 θα μπορούσαν να προκαλέσουν προβλήματα με το χαρακτηριστικό S4USer του Kerberos. Εργαζόμαστε για να αντιμετωπίσουμε αυτό το πρόβλημα”, λέει η Microsoft.
Πηγή: zdnet.com
