Windows 10 : Microsoft corrige un bug d’authentification Kerberos

Spread the love
Windows 10 : Microsoft corrige un bug d'authentification Kerberos

Microsoft travaille sur la correction d’un bug causé par le patch de la semaine dernière. Celui-ci corrigeait une vulnérabilité de contournement dans la fonction de sécurité du centre de distribution de clés Kerberos (Key Distribution Center, KDC).

Microsoft signale que le problème affecte les systèmes qui ont installé le correctif pour la vulnérabilité CVE-2020-17049, l’une des 112 traitées dans le Patch Tuesday de novembre 2020.

publicité

Problème suite à une mise à jour

Kerberos est un protocole d’authentification client-serveur utilisé sur plusieurs systèmes d’exploitation, dont Windows. Microsoft a tenté de corriger un contournement dans le Kerberos KDC, une fonctionnalité qui gère des tickets pour le chiffrement de messages entre un serveur et un client.

« Après avoir installé KB4586786 sur les contrôleurs de domaine et les contrôleurs de domaine en lecture seule dans votre environnement, vous pourriez rencontrer des problèmes d’authentification Kerberos », explique Microsoft sur la page des problèmes connus pour toutes les versions de Windows 10.

« Ceci est dû à un problème dans la manière dont CVE-2020-17049 a été traité dans ces mises à jour.

Vulnérabilité corrigée

Selon Microsoft, le correctif défectueux ne concerne que les serveurs Windows, les appareils Windows 10 et les applications dans les environnements d’entreprise. Le fabricant de Windows a corrigé cette vulnérabilité en modifiant la manière dont KDC valide les tickets de service utilisés avec Kerberos Constrained Delegation (KCD). Le problème provenait de la manière dont KDC détermine si un token de service peut être utilisé pour la délégation KCD.

Microsoft explique qu’il y a trois valeurs de paramètres de registre – 0, 1 et 2 – pour que PerformTicketSignature puisse le contrôler, mais les administrateurs peuvent rencontrer des problèmes différents avec chaque paramètre.

« Le réglage de la valeur à 0 pourrait causer des problèmes d’authentification lors de l’utilisation de scénarios S4U, comme les tâches planifiées, le regroupement et les services, par exemple les applications de ligne de métier », précise Microsoft.

Problèmes d’authentification

En outre, la valeur par défaut de 1 pourrait entraîner des problèmes d’authentification pour les clients qui ne sont pas sur Windows qui s’authentifient sur des domaines Windows à l’aide de Kerberos. Avec ce réglage, les administrateurs pourraient également constater des erreurs dans les “cross-realm referrals” sur les appareils Windows et non Windows pour les tickets de renvoi Kerberos passant par des controleurs de domaine qui n’ont pas reçu les mises à jour du Patch Tuesday.

« Nous travaillons sur une résolution et fournirons une mise à jour dès que plus d’informations seront disponibles », affirme Microsoft. L’entreprise a également revu ses orientations pour le déploiement de la mise à jour. Elle recommande aux administrateurs de localiser la sous-clé de registre KDC et, si elle existe dans le système, de s’assurer qu’elle est définie sur 1. Les administrateurs doivent ensuite terminer le déploiement dans tous les contrôleurs de domaine.

« Notez que le fait de suivre nos conseils initiaux d’utilisation du réglage 0 pourrait causer des problèmes connus avec la fonction S4USelf de Kerberos. Nous nous efforçons de résoudre ce problème », ajoute Microsoft.

Source : ZDNet.com

Leave a Reply