Microsoft a publié un correctif hors bande pour un problème sur les contrôleurs de domaine Windows qui pourrait entraîner des échecs de connexion ou d’autres problèmes d’authentification Kerberos.
Publié le mois dernier, le correctif résout la vulnérabilité CVE-2022-37966, une vulnérabilité d’escalade de privilèges en raison d’une faible négociation Kerberos RC4-HMAC.
La mise à jour – qui remplace une mise à jour publiée le 8 novembre dans les correctifs réguliers du mardi des correctifs – définira AES comme type de cryptage par défaut pour les clés de session sur les comptes qui ne sont pas déjà marqués avec un type de cryptage par défaut.
La mise à jour hors bande s’applique à toutes les versions de Windows Server de 2008 à 2022.
Microsoft évalue la complexité de la vulnérabilité comme élevée. « Une attaque réussie dépend de conditions indépendantes de la volonté de l’attaquant », indique la société dans une note explicative. « C’est-à-dire qu’une attaque réussie ne peut pas être accomplie à volonté, mais nécessite que l’attaquant investisse dans une quantité mesurable d’efforts dans la préparation ou l’exécution contre le composant vulnérable avant qu’une attaque réussie puisse être attendue. Par exemple, une attaque réussie peut nécessiter qu’un attaquant : recueille des informations sur l’environnement dans lequel la cible/le composant vulnérable existe ; prépare l’environnement cible pour améliorer la fiabilité de l’exploit ; ou s’injecte dans le chemin réseau logique entre la cible et la ressource demandée par la victime afin de lire et/ou de modifier les communications réseau (par exemple, par une attaque “man-in-the-middle”). »
Les administrateurs n’ont pas besoin d’installer de mises à jour ni d’apporter des modifications aux serveurs autres que les contrôleurs de domaine ou aux appareils clients de leur environnement pour résoudre ce problème.
Adaptation et traduction française par Renaud Larue-Langlois.
