La mise à jour de sécurité April 2024 publiée le 9 avril 2024 corrige une vulnérabilité de sécurité dans le protocole de validation PAC de Kerberos. De nouvelles mesures à prendre ont été publiées dans le cadre de la KB5037754 pour éviter de contourner les contrôles de sécurité de la validation de la signature PAC ajoutés dans la KB5020805 : How to manage Kerberos protocol changes related to CVE-2022-37967.
Voici ce qui est prévu :
- 9 avril 2024 : La phase de déploiement initial a commencé avec la publication de la mise à jour de sécurité d'avril 2024.
- 15 octobre 2024 : La phase " Enforced by Default " démarre et les contrôleurs de domaine et clients Windows passent en mode " Enforced ". Il est à noter que durant cette phase, les paramètres du mode Appliqué par défaut peuvent être remplacés par un administrateur pour revenir au mode Compatibilité.
- 8 avril 2025 : La phase d'application commence sans possibilité de revenir au nouveau comportement sécurisé.
Pour atténuer les vulnérabilités décrites dans CVE-2024-26248 et CVE-2024-29056, vous devez vous assurer que l'ensemble de votre environnement Windows (y compris les contrôleurs de domaine et les clients) est mis à jour. Les environnements qui ne sont pas mis à jour ne reconnaîtront pas cette nouvelle structure de demande après le début du mode Enforcement . Le contrôle de sécurité échouera alors.
Vous devez suivre les étapes suivantes :
- MISE À JOUR : Les contrôleurs de domaine Windows et les clients Windows doivent être mis à jour avec une mise à jour de sécurité Windows publiée à partir du 9 avril 2024.
- SURVEILLER : Les événements d'audit seront visibles en mode Compatibilité afin d'identifier les périphériques qui n'ont pas été mis à jour.
- ACTIVER : Une fois que le mode d'application est entièrement activé dans votre environnement, les vulnérabilités décrites dans CVE-2024-26248 et CVE-2024-29056 seront atténuées.
