Microsoft инициирует новый этап усиления защиты контроллеров домена (DC) от уязвимости в Kerberos (CVE-2026-20833), связанной с устаревшим шифрованием RC4. Компания выпустила обновления с фазами развёртывания и перехода на AES-SHA1.
Почти ровно год назад компания Microsoft поделилась деталями процесса ужесточения безопасности контроллеров домена (DC) с целью защиты их от ряда уязвимостей в протоколе Kerberos. Теперь же компания инициирует очередной этап усиления мер безопасности для устранения уязвимостей контроллеров домена, недавно обнаруженных и обозначенных как CVE-2026-20833.
По сути, существует уязвимость в протоколе аутентификации Kerberos, которая позволяет злоумышленнику использовать слабые и устаревшие алгоритмы шифрования, такие как RC4, для получения служебных билетов, что даёт возможность похищать учётные данные учётных записей служб. Этот эксплойт обозначен как CVE-2026-20833 и затрагивает контроллеры домена под управлением следующих редакций Windows Server:
- Windows Server 2008 Premium Assurance
- Windows Server 2008 R2 Premium Assurance
- Windows Server 2012 ESU
- Windows Server 2012 R2 ESU
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows Server 2025
Для смягчения этой проблемы Microsoft внесла ряд изменений в рамках недавнего обновления Patch Tuesday. В настоящее время клиенты находятся в «Начальной фазе развёртывания», в рамках которой технологический гигант из Редмонда выпустил обновления Windows, предоставляющие журналы аудита для пользователей, которые могут столкнуться с проблемами совместимости из-за усиления мер безопасности. Также было введено значение реестра RC4DefaultDisablementPhase, чтобы проактивно разрешить контроллерам домена использовать алгоритм AES-SHA1, когда это безопасно.
Эта фаза продлится до апреля 2026 года, после чего наступит «Вторая фаза развёртывания», которая позволит контроллерам домена использовать AES-SHA1 для учётных записей, у которых не определён активный атрибут Active Directory msds-SupportedEncryptionTypes.
Наконец, в июле 2026 года Microsoft начнёт «Фазу принудительного применения», которая удалит подраздел реестра RC4DefaultDisablementPhase.
В своей специализированной статье поддержки Microsoft призвала ИТ-администраторов применить обновления Patch Tuesday за январь 2026 года и начать активный мониторинг событий аудита, чтобы определить готовность к запуску следующего этапа усиления безопасности контроллеров домена. Более подробную информацию можно найти здесь.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Usama Jawad