[English]Im Vorfeld des September 2023-Patchday nochmals die Erinnerung an ein Thema, welches spätestens im Okbtober 2023 aktuell wird. Es geht um die stufenweise Härtung der Netloogon- und Kerberos-Protokolle für Windows Netzwerkverbindungen. Grund sind die Schwachstellen CVE-2022-38023 und CVE-2022-37967, die uns seit 2022 beschäftigen. Und die Härtungsmaßnahmen habenin der Vergangenheit für Ärger gesorgt.
Rückblick auf das Problem
Am 8. November 2022 hatte Microsoft mit den monatlichen kumulativen Sicherheitsupdates eine stufenweise Änderung am Netlogon- und Kerberos-Protokoll eingeleitet, die bis Oktober 2023 dauern soll. Damit sollten die Schwachstellen CVE-2022-38023 und CVE-2022-37967 in Windows bzw. in dessen Netzwerkfunktionen beseitigt werden. Administratoren müssen entsprechend reagieren, um sicherzustellen, dass diese Änderungen in der Netzwerkkommunikation berücksichtig werden (siehe mein Blog-Beitrag November 2022-Updates für Windows: Änderungen am Netlogon- und Kerberos-Protokoll).
Um Probleme durch die Patches zu vermeiden, ist eine stufenweise Härtung geplant gewesen, bei der Administratoren bestimmte Einstellungen rückgängig machen und so die Netzwerkverbindungen funktionsfähig halten konnten. Zum 11. April 2023 sollte die nächste Änderung greifen – ich hatte im Blog-Beitrag Änderungen an den Windows Sicherheitseinstellungen in 2023 darauf hingewiesen. Das Ganze führte aber zu einige Problemen, die ich im Blog-Beitrag Windows April 2023 Updates: Netlogon- und Kerberos Protokoll-Änderungen, es gibt Probleme angesprochen hatte.
Oktober 2023 folgt die letzte Stufe
Laut Microsofts Vorgaben startet im Oktober 2023 die letzte Phase der Umstellung der Netlogon-/Kerberos-Protokoll-Härtung. Am 10. Oktober 2023 werden kumulative Sicherheitsupdates für alle noch unterstützten Windows-Versionen (Server und Clients) ausgerollt, die dann den Enforcement-Mode vollständig aktivieren. Dieser Modus kann danach auch nicht mehr per Registrierungseintrag deaktiviert werden.
Ich hatte es noch auf Wiedervorlage – lese aber bei den Kollegen von deskmodder.de, dass Microsoft gerade an diesen Sachverhalt erinnert habe (der Zeitplan ist ja im Artikel November 2022-Updates für Windows: Änderungen am Netlogon- und Kerberos-Protokoll zu finden. Die Supportbeiträge KB5020805 zu CVE-2022-37967 und KB5021130: zu CVE-2022-38023 sind aber noch nicht akualisiert, soweit ich gesehen habe.
Ähnliche Artikel:
November 2022-Updates für Windows: Änderungen am Netlogon- und Kerberos-Protokoll
Windows April 2023 Updates: Netlogon- und Kerberos Protokoll-Änderungen, es gibt Probleme
Mehrere Sicherheitslücken [CVE-2022-38023, CVE-2022-37966, CVE-2022-37967, CVE-2022-45141] in Samba
Für CVE-2022-38023 (Netlogon) wurde die Enforcement Phase bereits am 11 Juli aktiviert.
Der Oktobertermin bezieht sich doch nur auf CVE-2022-37967 (Kerberos).
Oder habe ich da etwas verpasst?
Ich denke, Du hast nichts verpasst und die Admins unter der Leserschaft werden das wohl auch längst alles erledigt haben. Aber erinnern schadet nicht.
Wie löst man dann die ganzen SMB-Zugriffe von anderen PC’s, Multifunktionsdrucker oder Industriemaschinen? Solange man noch generelle Ausnahmen definieren kann, kann man drumherum bauen. Sobald aber SMB gehärtet wird (Signing etc.), erscheint nicht der „Antragsteller“ im Log sondern der „Empfänger“ auf welchen man zugreifen möchte. Es kann also auch keine Ausnahme mehr generiert werden für eine Maschine sondern nur für alle. Sprich selbst wenn MS noch einzelausnahmen aber keine Generellen noch zulassen würde, würde das nicht mehr funktionieren.
Dann die CA…
Wenn man die NTLM Kommunikation auf einer Enterprise CA abdreht, dann werden keine Zertifikate mehr mit mmc, certreq.exe oder AutoEnrollment ausgerollt.
Sprich alle CA’s würden nur noch via Web-Umweg funktionieren.
Scheint irgendwie noch eine Menge Ärgerpotential zu haben…
Das frage ich mich auch und warte schon drauf wo es überall scheppern wird.
Vielleicht muss man in solchen Fällen auf andere Protokolle umstellen. Wir haben zb einen teuren Enterprise-MFP welcher zwar theoretisch SMB2 kann, es jedoch irgendwie doch nicht tut (Datei hat 0Byte und das wars). Die „Lösung“ trotz neuester Firmware war halt die Übertragung über unverschlüsseltes FTP zu machen, denn DAS geht immer. Kann zwar nicht im Sinne des Erfinders sein aber bitte. Gleiches Dilemma mit Veeam12. Der Mailversand per TLS geht nicht, es soll am Zertifikat liegen (inzwischen ein bekannter Bug), die „Lösung“ ist schicken per unverschlüsseltem SMTP. Geil. Oder Microsofts tolle „Lösung“ mit dem Drucken wegen PrintNightmare oder wie es hieß. Das es halt auch Umgebungen gibt wo man dynamische Druckserver hat und vorher eben nicht weiß welcher das sein wird, hat man die Mitigierung halt global deaktiviert.
Irgendwie scheint MS nur noch Mitigierungen auszurollen welche öfter halt mal komplett abgedreht werden müssen da sonst niemand mehr damit arbeiten kann.
Wenn man etwas vorausschaut und die enforcements schon frühzeitig aktiviert hat, wird man ja nicht überrascht und weiss genau wo es scheppern wird. Macht die Sache zwar nicht besser, aber immerhin ist man vorbereitet.
Mich gurkt halt an, dass ich nur noch die Wahl zwischen keinerlei Authentifziuerung und keine Windows-Updates mehr installieren habe. Wenigstens die Authentifzierung gegen Lokale Accounts erlauben wäre wünschenswert. Wird aber hart aufschlagen wenn die SMB-Sicherheiten enforced werden. Das wird dann sogar im privaten Umfeld scheppern, da haben die wenigsten Kerberos…