微软在上周发布了针对 Windows 10 (KB5036892)、Windows 11 (KB5036893)等系统的 2024 年 4 月 "补丁星期二" 更新。
除了这些,该公司还通知说,该补丁解决了 CVE-2024-26248 和 CVE-2024-29056 追踪到的几个 Kerberos PAC 身份验证安全漏洞,这两个漏洞都是绕过之前在 KB5020805 中添加的 PAC 签名检查的权限提升漏洞。
微软在其支持文档中解释说:
2024 年 4 月 9 日或之后发布的 Windows 安全更新可解决 Kerberos PAC 验证协议中的权限提升漏洞。特权属性证书 (PAC) 是 Kerberos 服务票据的扩展。它包含有关验证用户及其权限的信息。此更新修复了一个漏洞,在此漏洞中,进程用户可以伪造签名以绕过 KB5020805 中添加的 PAC 签名验证安全检查。
微软还补充说,仅仅下载和安装 2024 年 4 月的 "补丁星期二" 更新还不足以解决该漏洞,用户还必须强制执行更改。这只是补丁程序的初始部署阶段,以后才会默认强制执行。
即将进行的更改的完整时间表如下:
2024 年 4 月 9 日:初始部署阶段 - 兼容性模式
初始部署阶段从 2024 年 4 月 9 日发布的更新开始。此更新添加了新行为,可防止 CVE-2024-26248 和 CVE-2024-29056 中描述的权限提升漏洞,但除非环境中的 Windows 域控制器和 Windows 客户端都已更新,否则不会强制执行。
要启用新行为并减少漏洞,您必须确保整个 Windows 环境(包括域控制器和客户端)都已更新。将记录审计事件,以帮助识别未更新的设备。
2024 年 10 月 15 日:默认执行阶段
2024 年 10 月 15 日或之后发布的更新将通过将注册表子键设置更改为 PacSignatureValidationLevel=3 和 CrossDomainFilteringLevel=4 将环境中的所有 Windows 域控制器和客户端移至强制模式,默认情况下强制执行安全行为。
管理员可覆盖 "默认强制" 设置,以恢复到兼容模式。
2025 年 4 月 8 日 强制执行阶段
2025 年 4 月 8 日或之后发布的 Windows 安全更新将移除对注册表子键 PacSignatureValidationLevel 和 CrossDomainFilteringLevel 的支持,并强制执行新的安全行为。安装此更新后,将不再支持兼容模式。
你可以在微软网站 KB5037754 的官方支持文档中找到更多详细信息:
![[WIN] PowerToys v0.87.1](https://www.pcsofter.com/wp-content/uploads/2024/07/2024071311424323.webp)
