Microsoft는 Windows CVE-2024-26248, CVE-2024-29056 Kerberos PAC 유효성 검사 결함을 수정했습니다

해외 매체 기사를 단순 번역한 것으로 오역이 있을 수 있으며 자세한 내용은 원문을 참고하시기 바랍니다.

Microsoft는 Windows CVE-2024-26248, CVE-2024-29056 Kerberos PAC 유효성 검사 결함을 수정했습니다

지난주 Microsoft는 Windows 10( KB5036892 ), Windows 11( KB5036893 ) 등에 대한 2024년 4월 패치 화요일 업데이트를 출시했습니다.

그 외에도 회사는 패치가 CVE-2024-26248 및 CVE-2024-29056으로 추적된 몇 가지 Kerberos PAC 인증 보안 취약점을 해결한다고 알렸습니다. 두 가지 모두 이전에 추가된 PAC 서명 확인을 우회하는 권한 상승 결함입니다. KB5020805 .

지원 문서에서 Microsoft는 다음과 같이 설명합니다.

2024년 4월 9일 이후에 릴리스된 Windows 보안 업데이트는 Kerberos PAC 유효성 검사 프로토콜의 권한 상승 취약성을 해결합니다. PAC(Privilege Attribute Certificate)는 Kerberos 서비스 티켓의 확장입니다. 여기에는 인증하는 사용자와 해당 권한에 대한 정보가 포함되어 있습니다. 이 업데이트는 프로세스 사용자가 KB5020805 에 추가된 PAC 서명 유효성 검사 보안 검사를 우회하기 위해 서명을 스푸핑할 수 있는 취약성을 수정합니다 .

마이크로소프트는 또한 단순히 2024년 4월 패치 화요일 업데이트를 다운로드하고 설치하는 것만으로는 결함을 해결하기에 충분하지 않으며 사용자도 변경 사항을 적용해야 한다고 덧붙였습니다. 이는 패치의 초기 배포 단계일 뿐이며 나중까지 기본적으로 적용되지 않습니다.

향후 변경 사항의 전체 타임라인은 다음과 같습니다.

2024년 4월 9일: 초기 배포 단계 - 호환 모드

초기 배포 단계는 2024년 4월 9일에 릴리스된 업데이트로 시작됩니다. 이 업데이트는 CVE-2024-26248 및 CVE-2024-29056에 설명된 권한 상승 취약성을 방지하는 새로운 동작을 추가하지만 두 Windows 도메인 컨트롤러가 모두 실행되지 않는 한 이를 시행하지 않습니다. 환경의 Windows 클라이언트가 업데이트됩니다.

새로운 동작을 활성화하고 취약성을 완화하려면 전체 Windows 환경(도메인 컨트롤러와 클라이언트 포함)이 업데이트되었는지 확인해야 합니다. 업데이트되지 않은 장치를 식별하는 데 도움이 되도록 감사 이벤트가 기록됩니다.

2024년 10월 15일: 기본 단계로 시행

2024년 10월 15일 이후에 릴리스된 업데이트는 레지스트리 하위 키 설정을 PacSignatureValidationLevel=3 및 CrossDomainFilteringLevel=4로 변경하여 기본적으로 보안 동작을 적용함으로써 환경의 모든 Windows 도메인 컨트롤러 및 클라이언트를 적용 모드로 이동합니다.

관리자는 기본적으로 적용 설정을 재정의하여 호환 모드로 되돌릴 수 있습니다.

2025년 4월 8일: 시행 단계

2025년 4월 8일 이후에 출시된 Windows 보안 업데이트는 레지스트리 하위 키 PacSignatureValidationLevel 및 CrossDomainFilteringLevel에 대한 지원을 제거하고 새로운 보안 동작을 시행합니다. 이 업데이트를 설치한 후에는 호환성 모드가 지원되지 않습니다.