Le patch Tuesday d’avril 2024 a été l’occasion pour Microsoft de corriger les problèmes de sécurité autour de l’authentification PAC Kerberos. Ils sont connus sous les noms de CVE-2024-26248 et CVE-2024-29056.
Dans les deux cas, il s’agit de vulnérabilités permettant une élévation de privilèges. La situation est problématique car elle permet de contourner les contrôles de signature PAC ajoutés par la mise à jour KB5020805.
Microsoft explique :
Les mises à jour de sécurité Windows publiées à partir du 9 avril 2024 corrigent les vulnérabilités d’élévation de privilèges avec le protocole de validation Kerberos PAC. Le certificat d’attribut de privilège (PAC) est une extension des tickets de service Kerberos. Il contient des informations sur l’utilisateur authentifiant et ses privilèges. Cette mise à jour corrige une vulnérabilité dans laquelle l’utilisateur du processus peut usurper la signature pour contourner les contrôles de sécurité de validation de signature PAC ajoutés dans KB5020805.
Le téléchargement et l’installation de ces mises à jour ne suffisent pas à combler la brèche. Le correctif nécessite de passer en mode appliqué une fois la mise à jour de l’environnement terminée. Microsoft a prévu trois étapes, lançant actuellement la phase initiale de déploiement du patch. Il ne sera appliqué par défaut que plus tard. Nous avons seulement un nouveau comportement qui empêche l’élévation des vulnérabilités de privilèges CVE-2024-26248 et CVE-2024-29056. Cela ne s’applique que si les contrôleurs de domaine Windows et les clients Windows sont mis à jour.
La prochaine réunion est fixée au 15 octobre 2024 avec une modification des paramètres des sous-clés du Registre sur PacSignatureValidationLevel=3 et CrossDomainFilteringLevel=4.
Ensuite, l’action finale est prévue pour le 8 avril 2025 avec la publication de mises à jour qui supprimeront la prise en charge des sous-clés de registre PacSignatureValidationLevel et CrossDomainFilteringLevel et appliqueront le nouveau comportement sécurisé. Il n’y aura aucune prise en charge du mode de compatibilité après l’installation de cette mise à jour.
Vous trouverez tous les détails à ce sujet dans cet article : KB5037754 : Comment gérer les modifications de Validation PAC liées aux CVE-2024-26248 et CVE-2024-29056.
