m365jp.net

SHD / MC Checker

MC776076 | New steps have been released to mitigate Kerberos signature validation vulnerabilities

MC776076 | New steps have been released to mitigate Kerberos signature validation vulnerabilities
Classification preventOrFixIssue
Last Updated 04/12/2024 19:56:34
Start Time 04/12/2024 19:56:33
End Time 04/12/2025 19:56:33
Message Content
The April 2024 security update released on April 9, 2024 addresses a security vulnerability in the Kerberos PAC Validation Protocol. New Take Action steps have been released as part of KB5037754 to prevent bypassing PAC signature validation security checks added in KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967.
When will this happen: 
  • April 9, 2024: Initial deployment phase started with the release of the April 2024 security update.
  • October 15, 2024: The Enforced by Default phase starts where Windows domain controllers and clients will move to Enforced mode. Note that during that during this phase, the Enforced by Default settings can be overridden by an Administrator to revert to Compatibility mode.
  • April 8, 2025: Enforcement phase begins with no option to revert the new secure behavior.
How this will affect your organization: 
To mitigate vulnerabilities described in CVE-2024-26248 and CVE-2024-29056, you must make sure your entire Windows environment (including both domain controllers and clients) is updated. Environments that are not updated will not recognize this new request structure after Enforcement mode begins. This will cause the security check to fail.
What you need to do to prepare: 
To help protect your environment and prevent outages, we recommend the following steps:
  1. UPDATE: Windows domain controllers and Windows clients must be updated with a Windows security update released on or after April 9, 2024.
  2. MONITOR: Audit events will be visible in Compatibility mode to identify devices not updated.
  3. ENABLE: After Enforcement mode is fully enabled in your environment, the vulnerabilities described in CVE-2024-26248 and CVE-2024-29056 will be mitigated.
Additional information: 
Machine Translation
2024 年 4 月 9 日にリリースされた 2024 年 4 月のセキュリティ更新プログラムは、Kerberos PAC 検証プロトコルのセキュリティの脆弱性に対処します。KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法」で 追加された PAC 署名検証セキュリティ チェックのバイパスを防ぐためのKB5037754の一環として、新しいアクション実行手順がリリースされました。
これはいつ発生しますか: 
  • 2024 年 4 月 9 日: 2024 年 4 月のセキュリティ更新プログラムのリリースにより、初期展開フェーズが開始されました。
  • 2024 年 10 月 15 日: 既定で強制 フェーズが開始され、Windows ドメイン コントローラーとクライアントが 強制 モードに移行します。このフェーズでは、管理者が [ 既定で 適用] の設定を上書きして、互換 モードに戻す ことができます。
  • 2025 年 4 月 8 日: 適用 フェーズが開始され、新しいセキュリティで保護された動作を元に戻すオプションはありません。
これが組織に及ぼす影響: 
CVE-2024-26248 および CVE-2024-29056 で 説明されている脆弱性を軽減するには、Windows 環境全体 (ドメイン コントローラーとクライアントの両方を含む) が更新されていることを確認する必要があります。更新されていない環境は、強制モードの開始後にこの新しい要求構造を認識しません。これにより、セキュリティチェックが失敗します。
準備に必要なこと: 
環境を保護し、停止を防ぐには、次の手順をお勧めします。
  1. 更新: Windows ドメイン コントローラーと Windows クライアントは、2024 年 4 月 9 日以降にリリースされた Windows セキュリティ更新プログラムで更新する必要があります。
  2. モニター: 監査イベントは互換 モードで表示され 、更新されていないデバイスを識別します。
  3. 有効:  環境で強制 モード が完全に有効になると、CVE-2024-26248 および CVE-2024-29056 で 説明されている脆弱性が軽減されます。
追加情報: 
Post Views: 82

m365jp.net