Microsoft risolve bug di convalida del PAC Kerberos di Windows

La scorsa settimana Microsoft ha rilasciato gli aggiornamenti del Patch Tuesday di aprile 2024 per Windows 10 (KB5036892), Windows 11 (KB5036893) e altro ancora. Oltre a ciò, la società ha anche annunciato che la patch risolve un paio di vulnerabilità di sicurezza dell'autenticazione PAC Kerberos tracciate come CVE-2024-26248 e CVE-2024-29056. Entrambe sono difetti di elevazione di privilegi che aggirano i controlli di firma PAC precedentemente aggiunti in KB5020805. Ciò si aggiunge all'avviso aggiornato pubblicato per il difetto BlackLotus Secure Boot (CVE-2023-24932). In un post sul proprio sito, Microsoft ha riportato che che: “Il Privilege Attribute Certificate (PAC) è un'estensione dei ticket di servizio Kerberos. Contiene informazioni sull'utente autenticato e sui suoi privilegi. Questo aggiornamento risolve una vulnerabilità a causa della quale l'utente del processo può falsificare la firma per aggirare i controlli di sicurezza di convalida della firma PAC aggiunti in KB5020805”.

Microsoft: la timeline delle modifiche della patch

L’azienda di Redmond ha anche aggiunto che il semplice download e installazione degli aggiornamenti del Patch Tuesday di aprile 2024 non basterà a risolvere il difetto. Bisognerà passare alla modalità applicata. Inoltre, questa è solo la fase di distribuzione iniziale della patch e non verrà applicata per impostazione predefinita se non in un secondo momento. Secondo quanto riportato nella cronologia della distribuzione, la fase iniziale è cominciata con gli aggiornamenti rilasciati il 9 aprile 2024. Questo aggiornamento aggiunge un nuovo comportamento che impedisce l'elevazione delle vulnerabilità dei privilegi descritte in CVE-2024-26248 e CVE-2024-29056. Tuttavia, ciò non viene applicato, tranne nel caso in cui entrambi i controller di dominio Windows e i client Windows nell'ambiente vengono aggiornati. Per abilitare il nuovo comportamento e mitigare le vulnerabilità, bisogna assicurarsi che l'intero ambiente Windows sia aggiornato. Gli eventi di controllo verranno registrati per aiutare a identificare i dispositivi non aggiornati.

Il 15 ottobre 2024 vi sarà poi l’applicazione della fase predefinita. Gli aggiornamenti rilasciati a partire da tale data sposteranno tutti i controller di dominio e i client Windows nell'ambiente in modalità applicata. Ciò modificherà le impostazioni della sottochiave del registro in PacSignatureValidationLevel=3 e CrossDomainFilteringLevel=4 e applicherà il comportamento sicuro per impostazione predefinita. Le impostazioni Enforced by Default possono essere sovrascritte da un amministratore per ripristinare la modalità di compatibilità. Infine, l’8 aprile 2025 è prevista la fase di applicazione. Gli aggiornamenti di sicurezza di Windows rilasciati rimuoveranno il supporto per le sottochiavi del registro PacSignatureValidationLevel e CrossDomainFilteringLevel e applicheranno il nuovo comportamento sicuro. Dopo l’installazione di tale aggiornamento non sarà disponibile alcun supporto per la modalità compatibilità.