Le Patch Tuesday du mois d’avril 2024 a été l’occasion pour Microsoft de corriger des soucis de sécurité autour de l’authentification PAC Kerberos. Ils sont connus sous les références CVE-2024-26248 et CVE-2024-29056.
Dans les deux cas, il s’agit de failles permettant une élévation de privilèges. La situation est problématique, car elle autorise un contournent des vérifications de signature PAC ajoutées par la mise à jour KB5020805.
Microsoft explique :
Les mises à jour de sécurité Windows publiées à partir du 9 avril 2024 corrigent des vulnérabilités d’élévation de privilèges avec le protocole de validation PAC Kerberos. Le certificat d’attribut de privilège (PAC) est une extension des tickets de service Kerberos. Il contient des informations sur l’utilisateur qui s’authentifie et ses privilèges. Cette mise à jour corrige une vulnérabilité dans laquelle l’utilisateur du processus peut usurper la signature pour contourner les contrôles de sécurité de validation de signature PAC ajoutés dans KB5020805.
Le téléchargement et l’installation de ces updates ne sont pas suffisants pour colmater la brèche. La correction demande de passer en mode Appliqué une fois la mise à jour terminée de l’environnement. Microsoft a prévu trois étapes avec pour le moment le lancement de la phase de déploiement initiale du correctif. Il sera appliqué par défaut que plus tard. Nous avons seulement un nouveau comportement qui empêche les vulnérabilités d’élévation de privilèges CVE-2024-26248 et CVE-2024-29056. Il ne s’applique pas à moins que les contrôleurs de domaine Windows et les clients Windows ne soient mis à jour.
Le prochain rendez-vous est fixé au 15 octobre 2024 avec une modification des paramètres de sous-clé du Registre sur PacSignatureValidationLevel=3 et CrossDomainFilteringLevel=4.
Ensuite la dernière action est prévue le 8 avril 2025 avec la publication de mises à jour qui supprimeront la prise en charge des sous-clés de Registre PacSignatureValidationLevel et CrossDomainFilteringLevel et appliqueront le nouveau comportement sécurisé. Il n’y aura pas de prise en charge du mode Compatibilité après l’installation de cette mise à jour.
Vous trouverez tous les détails sur ce sujet dans dans cette article : KB5037754: How to manage PAC Validation changes related to CVE-2024-26248 and CVE-2024-29056.
Les problèmes d’instabilité en gaming des plateformes Core de 13 et 14ième génération ne sont… Lire d'avantage
Les fan de la série Tom Raider peuvent profiter de Tomb Raider : Definitive Edition… Lire d'avantage
Le MasterBox 600 est un boitier flux d’air. Signé Cooler Master il se décline en… Lire d'avantage
Gigabyte confirme le nom de la a prochaine génération de processeur Ryzen. Les Ryzen 9000… Lire d'avantage
Microsoft propose une nouvelle Preview de Windows 11, la build 22635.3566. Elle apporte 2 améliorations… Lire d'avantage
La mise à jour cumulative Windows 11 KB5036980 n’ajoute pas seulement de la publicité. Certaines… Lire d'avantage