Le Patch Tuesday du mois d’avril 2024 a été l’occasion pour Microsoft de corriger des soucis de sécurité autour de l’authentification PAC Kerberos. Ils sont connus sous les références CVE-2024-26248 et CVE-2024-29056.
Dans les deux cas, il s’agit de failles permettant une élévation de privilèges. La situation est problématique, car elle autorise un contournent des vérifications de signature PAC ajoutées par la mise à jour KB5020805.
Microsoft explique :
Les mises à jour de sécurité Windows publiées à partir du 9 avril 2024 corrigent des vulnérabilités d’élévation de privilèges avec le protocole de validation PAC Kerberos. Le certificat d’attribut de privilège (PAC) est une extension des tickets de service Kerberos. Il contient des informations sur l’utilisateur qui s’authentifie et ses privilèges. Cette mise à jour corrige une vulnérabilité dans laquelle l’utilisateur du processus peut usurper la signature pour contourner les contrôles de sécurité de validation de signature PAC ajoutés dans KB5020805.
Le téléchargement et l’installation de ces updates ne sont pas suffisants pour colmater la brèche. La correction demande de passer en mode Appliqué une fois la mise à jour terminée de l’environnement. Microsoft a prévu trois étapes avec pour le moment le lancement de la phase de déploiement initiale du correctif. Il sera appliqué par défaut que plus tard. Nous avons seulement un nouveau comportement qui empêche les vulnérabilités d’élévation de privilèges CVE-2024-26248 et CVE-2024-29056. Il ne s’applique pas à moins que les contrôleurs de domaine Windows et les clients Windows ne soient mis à jour.
Le prochain rendez-vous est fixé au 15 octobre 2024 avec une modification des paramètres de sous-clé du Registre sur PacSignatureValidationLevel=3 et CrossDomainFilteringLevel=4.
Ensuite la dernière action est prévue le 8 avril 2025 avec la publication de mises à jour qui supprimeront la prise en charge des sous-clés de Registre PacSignatureValidationLevel et CrossDomainFilteringLevel et appliqueront le nouveau comportement sécurisé. Il n’y aura pas de prise en charge du mode Compatibilité après l’installation de cette mise à jour.
Vous trouverez tous les détails sur ce sujet dans dans cette article : KB5037754: How to manage PAC Validation changes related to CVE-2024-26248 and CVE-2024-29056.