CVE-2021-42287, creado en noviembre de 2021, realiza un seguimiento de una vulnerabilidad de omisión de seguridad que afecta al certificado de atributo de privilegios (PAC) de Kerberos y permite a los posibles atacantes suplantar controladores de dominio (DC). Las actualizaciones de Windows con fecha 9 de noviembre de 2021 o posteriores corrigen esta vulnerabilidad. El proceso de autenticación mejorado en CVE-2021-42287 agrega nueva información sobre el solicitante original a los PAC de Kerberos Ticket-Granting Tickets (TGT). En 2022, se lanzará una mayor aplicación de seguridad, y es posible que se necesiten pasos para garantizar la compatibilidad continua en su entorno, al tiempo que mantiene los sistemas protegidos. Se ha proporcionado una guía detallada en KB5008380 – Actualizaciones de autenticación (CVE-2021-42287)
¿Cuándo sucederá esto?
A partir de la actualización del 12 de julio de 2022, se habilitará la nueva aplicación de seguridad en todos los controladores de dominio de Windows y será necesaria. Antes de esta fecha de julio, las actualizaciones de Windows se publicarán en el siguiente momento:
- 9 de noviembre de 2021: Fase de implementación inicial: se crea una nueva clave de registro titulada PacRequestorEnforcement, que permite a los usuarios obtener una vista previa de los próximos niveles de seguridad antes de tiempo.
- 12 de abril de 2022: Segunda fase de implementación: eliminación de la capacidad de deshabilitar la clave PacRequestorEnforcement a través de un valor de 0. Los controladores de dominio estarán en “Modo de despliegue”.
- 12 de julio de 2022: Fase de aplicación: los controladores de dominio de Active Directory entran en “Modo de aplicación” y eliminan por completo la clave PacRequestorEnforcement.
Cómo afectará esto a su organización:
La fase de aplicación se habilitará en todos los controladores de dominio de Windows a partir de la actualización del 12 de julio de 2022. Los controladores de dominio de Windows que hayan instalado esta actualización ya no serán compatibles con:
- Controladores de dominio que no instalaron las actualizaciones del 9 de noviembre de 2021 o posteriores.
- Controladores de dominio que instalaron las actualizaciones del 9 de noviembre de 2021 o posteriores pero que aún no han instalado la actualización del 12 de abril de 2022 Y que tienen un valor de registro PacRequestorEnforcement de 0.
Lo que debe hacer para prepararse:
Revise y complete los pasos detallados en KB5008380 – Actualizaciones de autenticación (CVE-2021-42287) para proteger los entornos y evitar interrupciones.
Información adicional:
Consulte los siguientes enlaces para obtener orientación detallada.