10/02/2023
Cybersecurity Insights
Kerberos et Netlogon : mises à jour de sécurité Microsoft nécessitant votre attention
Avec les mises à jour cumulatives de novembre 2022, Microsoft a amorcé un processus de correction de plusieurs vulnérabilités au niveau des contrôleurs de domaine avec une approche un peu inhabituelle. Concrètement, il s’agit d’un déploiement progressif en plusieurs phases selon un échéancier précis, dont une phase spécifiquement prévue pour permettre de réaliser un audit d’impact sur votre système d’information.
C’est suffisamment rare pour nécessiter votre attention.
De quoi s’agit-il ?
Dans les faits, Microsoft va patcher, entre autres, les vulnérabilités CVE-2022-37967 et CVE-2022-38023 portant respectivement sur les protocoles Kerberos et Netlogon.
L’échéancier et l’objectif de chaque phase est décrit en détail dans les deux KB associés, KB5020805 et KB5021130.
Que faut-il faire ?
Pour la correction Kerberos, il convient d’installer le patch cumulatif de novembre (ou suivant) sur vos contrôleurs de domaine, puis de positionner la clé de registre HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc\KrbtgtFullPacSignature à 2, afin d’activer le mode audit.
Vous pourrez alors rechercher dans les logs système des occurrences des events ID 42, 43 ou 44, symptomatiques d’une incompatibilité avec la correction à la cible. Il vous appartiendra ensuite de corriger tous les problèmes avant les échéances annoncées par Microsoft :
- 1ère échéance au 11/07/2023, où il vous sera possible de re-forcer le mode audit
- 2ème échéance au 10/10/2023, où la correction sera définitivement appliquée
A noter : si vous rencontrez l’event ID 42, Microsoft a documenté dans le KB 5021131 des contrôles complémentaires à réaliser.
Pour la correction Netlogon, le processus est sensiblement le même. Une fois le patch cumulatif de novembre installé sur vos contrôleurs de domaine, vous devez positionner la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal à 1 pour activer le mode audit.
Vous devrez alors rechercher dans les logs système les events ID 5838 à 5841 afin d’identifier les problèmes à corriger avant les échéances annoncées :
- 1ère échéance au 11/04/2023, où il vous sera possible de re-forcer le mode audit
- 2ème échéance au 11/07/2023, où la correction sera définitivement appliquée
En conclusion
Dans le meilleur des cas, vous n’aurez rien à faire, mais certains de nos clients ont eu quelques surprises en voyant remonter dans les logs des flux qui allaient poser problème à court terme…
La phase d’audit étant très simple à mettre en œuvre, nous vous incitons vivement à faire le contrôle, ne serait-ce que pour éviter des incidents de production liés à des authentifications en échec lorsque Microsoft forcera la correction à la première échéance indiquée.
Liens utiles
Arnaud LEBRUN
Lead Infrastructure Security