Out-of-band Windows 10-updates repareren Kerberos-kwetsbaarheid

Microsoft heeft een set out-of-band cumulatieve updates uitgebracht voor ondersteunde Windows-versies. Alle patches repareren een kwetsbaarheid in het Kerberos-protocol. Eerder werd dezelfde fix vrijgegeven voor: Windows 10 versie 1809.

De fixes van vandaag zijn beschikbaar voor Windows 10 versie 20H2, 2004, 1909, 1903 en 1607.

Ze delen het volgende wijzigingslogboek:

Lost problemen op met Kerberos-verificatie met betrekking tot de registersubsleutelwaarde PerformTicketSignature in CVE-2020-17049, die deel uitmaakte van de Windows-update van 10 november 2020. De volgende problemen kunnen optreden op beschrijfbare en alleen-lezen domeincontrollers (DC):

• Kerberos-servicetickets en ticket-granting-tickets (TGT) worden mogelijk niet verlengd voor niet-Windows Kerberos-clients wanneer PerformTicketSignature is ingesteld op 1 (de standaard).
• Service for User-scenario's (S4U), zoals geplande taken, clustering en services voor line-of-business-toepassingen, kunnen mislukken voor alle clients wanneer PerformTicketSignature is ingesteld op 0.
• S4UProxy-delegatie mislukt tijdens ticketverwijzing in scenario's voor meerdere domeinen als DC's in tussenliggende domeinen inconsistent worden bijgewerkt en PerformTicketSignature is ingesteld op 1.

Hier is de lijst met updates

• KB4594440 voor Windows 10 versie 20H2 en versie 2004, builds19042.631 en 19041.531.
• KB4594443 voor Windows 1909 en versie 1903, builds 18363.1199 en 16362.1199.
• KB4594441 voor Windows 10 versie 1607, build 14393.4048.

Microsoft stelt bovenstaande pakketten niet beschikbaar via Windows Update. Als je ze nodig hebt, moet je de website van Windows Update Catalogus bezoeken en ze handmatig downloaden en installeren.