Microsoft使用2020年12月更新修補(bǔ)了新的Windows Kerberos漏洞CVE-2020-16996

隨著2020年12月的更新，Microsoft再次嘗試使用分層方法來(lái)解決Active Directory域控制器(DC)中的新Kerberos漏洞CVE-2020-16996。2020年12月8日發(fā)布的支持文章中對(duì)此進(jìn)行了說(shuō)明。

CVE-2020-16996漏洞

使用受保護(hù)的用戶和基于資源的委派(RBCD)時(shí)，(新發(fā)現(xiàn)的)漏洞CVE-2020-16996可能會(huì)影響Active Directory域控制器(AD DC )。有關(guān)CVE-2020-16996漏洞的信息很少。Kerberos身份驗(yàn)證過(guò)程中的漏洞允許具有低特權(quán)的攻擊者在這些環(huán)境的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)上發(fā)起遠(yuǎn)程代碼攻擊。Microsoft尚未觀察到任何攻擊，但指出利用的復(fù)雜性較低。

支持文章概述了緩解措施

在2020年12月8日補(bǔ)丁程序日，Microsoft已在各種Windows版本的安全更新中包含此漏洞的修復(fù)程序，但未明確說(shuō)明(請(qǐng)參閱以下補(bǔ)丁日鏈接)。但是在2020年12月8日發(fā)布了支持帖KB4577252(為CVE-2020-16996管理RBCD /受保護(hù)用戶的更改的部署)解決了該問(wèn)題。Microsoft專門提供以下說(shuō)明來(lái)關(guān)閉漏洞并保護(hù)Active Directory DC環(huán)境：

•通過(guò)安裝2020年12月8日或更高版本的Windows更新，更新所有承載Active Directory域控制器角色的設(shè)備。請(qǐng)注意，安裝Windows Update不能完全緩解此漏洞。您必須執(zhí)行步驟2。

• 在所有Active Directory域控制器上啟用強(qiáng)制模式。從2021年2月9日的更新開(kāi)始，可以在所有Windows域控制器上啟用強(qiáng)制模式。

因此，關(guān)閉CVE-2020-16996漏洞的補(bǔ)丁程序的初始部署階段始于2020年12月8日發(fā)布的Windows更新。從2021年2月9日開(kāi)始，所謂的實(shí)施階段將由另一個(gè)Windows更新推出。 。這些和更高版本的Windows更新對(duì)Kerberos進(jìn)行了更改。

Microsoft在支持文章KB4577252中提供了有關(guān)受影響的系統(tǒng)的管理員應(yīng)如何進(jìn)行以及應(yīng)考慮的事項(xiàng)的詳細(xì)說(shuō)明。請(qǐng)?zhí)貏e注意有關(guān)注冊(cè)表更新和調(diào)整不一致的情況下可能出現(xiàn)的身份驗(yàn)證問(wèn)題的說(shuō)明。我們已經(jīng)在2020年11月的更新中遇到了這種情況(請(qǐng)參閱鏈接列表，例如，帶有Kerberos身份驗(yàn)證問(wèn)題修復(fù)程序的Windows更新(11/19/2020))。