Microsoft使用2020年12月更新修补了新的Windows Kerberos漏洞CVE-2020-16996

随着2020年12月的更新，Microsoft再次尝试使用分层方法来解决Active Directory域控制器(DC)中的新Kerberos漏洞CVE-2020-16996。2020年12月8日发布的支持文章中对此进行了说明。

CVE-2020-16996漏洞

使用受保护的用户和基于资源的委派(RBCD)时，(新发现的)漏洞CVE-2020-16996可能会影响Active Directory域控制器(AD DC )。有关CVE-2020-16996漏洞的信息很少。Kerberos身份验证过程中的漏洞允许具有低特权的攻击者在这些环境的网络基础结构上发起远程代码攻击。Microsoft尚未观察到任何攻击，但指出利用的复杂性较低。

支持文章概述了缓解措施

在2020年12月8日补丁程序日，Microsoft已在各种Windows版本的安全更新中包含此漏洞的修复程序，但未明确说明(请参阅以下补丁日链接)。但是在2020年12月8日发布了支持帖KB4577252(为CVE-2020-16996管理RBCD /受保护用户的更改的部署)解决了该问题。Microsoft专门提供以下说明来关闭漏洞并保护Active Directory DC环境：

•通过安装2020年12月8日或更高版本的Windows更新，更新所有承载Active Directory域控制器角色的设备。请注意，安装Windows Update不能完全缓解此漏洞。您必须执行步骤2。

• 在所有Active Directory域控制器上启用强制模式。从2021年2月9日的更新开始，可以在所有Windows域控制器上启用强制模式。

因此，关闭CVE-2020-16996漏洞的补丁程序的初始部署阶段始于2020年12月8日发布的Windows更新。从2021年2月9日开始，所谓的实施阶段将由另一个Windows更新推出。 。这些和更高版本的Windows更新对Kerberos进行了更改。

Microsoft在支持文章KB4577252中提供了有关受影响的系统的管理员应如何进行以及应考虑的事项的详细说明。请特别注意有关注册表更新和调整不一致的情况下可能出现的身份验证问题的说明。我们已经在2020年11月的更新中遇到了这种情况(请参阅链接列表，例如，带有Kerberos身份验证问题修复程序的Windows更新(11/19/2020))。