Microsoft使用2020年12月更新修補了新的Windows Kerberos漏洞CVE-2020-16996

隨著2020年12月的更新，Microsoft再次嘗試使用分層方法來解決Active Directory域控制器(DC)中的新Kerberos漏洞CVE-2020-16996。2020年12月8日發(fā)布的支持文章中對此進行了說明。

CVE-2020-16996漏洞

使用受保護的用戶和基于資源的委派(RBCD)時，(新發(fā)現的)漏洞CVE-2020-16996可能會影響Active Directory域控制器(AD DC )。有關CVE-2020-16996漏洞的信息很少。Kerberos身份驗證過程中的漏洞允許具有低特權的攻擊者在這些環(huán)境的網絡基礎結構上發(fā)起遠程代碼攻擊。Microsoft尚未觀察到任何攻擊，但指出利用的復雜性較低。

支持文章概述了緩解措施

在2020年12月8日補丁程序日，Microsoft已在各種Windows版本的安全更新中包含此漏洞的修復程序，但未明確說明(請參閱以下補丁日鏈接)。但是在2020年12月8日發(fā)布了支持帖KB4577252(為CVE-2020-16996管理RBCD /受保護用戶的更改的部署)解決了該問題。Microsoft專門提供以下說明來關閉漏洞并保護Active Directory DC環(huán)境：

•通過安裝2020年12月8日或更高版本的Windows更新，更新所有承載Active Directory域控制器角色的設備。請注意，安裝Windows Update不能完全緩解此漏洞。您必須執(zhí)行步驟2。

• 在所有Active Directory域控制器上啟用強制模式。從2021年2月9日的更新開始，可以在所有Windows域控制器上啟用強制模式。

因此，關閉CVE-2020-16996漏洞的補丁程序的初始部署階段始于2020年12月8日發(fā)布的Windows更新。從2021年2月9日開始，所謂的實施階段將由另一個Windows更新推出。 。這些和更高版本的Windows更新對Kerberos進行了更改。

Microsoft在支持文章KB4577252中提供了有關受影響的系統(tǒng)的管理員應如何進行以及應考慮的事項的詳細說明。請?zhí)貏e注意有關注冊表更新和調整不一致的情況下可能出現的身份驗證問題的說明。我們已經在2020年11月的更新中遇到了這種情況(請參閱鏈接列表，例如，帶有Kerberos身份驗證問題修復程序的Windows更新(11/19/2020))。