KB5004442– Управление на промените за заобикаляне на функцията за защита на Windows DCOM Server (CVE-2021-26414)

АКТУАЛИЗИРА 20 март 2023 г. - Раздел Наличност

Резюме

Протоколът за отдалечен модел на разпределен компонент (DCOM) е протокол за излагане на обекти на приложения с помощта на извиквания на отдалечена процедура (RPC). DCOM се използва за комуникация между софтуерните компоненти на мрежовите устройства. Промените в DCOM са необходими за CVE-2021-26414. Затова препоръчваме да проверите дали клиентските или сървърните приложения във вашата среда, които използват DCOM или RPC, работят по очаквания начин с активирани промени за подсилване.

Забележка Силно препоръчваме да инсталирате най-новата налична актуализация на защитата. Те предоставят разширена защита от най-новите заплахи за защитата. Те също така предоставят възможности, които сме добавили за поддръжка на миграцията. За повече информация и контекст относно това как втвърдяваме DCOM, вижте Подсилване на DCOM удостоверяване: това, което трябва да знаете.

Първата фаза на актуализациите на DCOM е издадена на 8 юни 2021 г. В тази актуализация DCOM подсилването е забранено по подразбиране. Можете да ги разрешите, като промените системния регистър, както е описано в раздела "Настройка на системния регистър за разрешаване или забраняване на промените за подсилване" по-долу. Втората фаза на актуализациите на DCOM беше издадена на 14 юни 2022 г. Това промени втвърдяването, така че да е разрешено по подразбиране, но запазва възможността за забраняване на промените, като се използват настройките на ключа от системния регистър. Последната фаза на актуализациите на DCOM ще бъде издадена през март 2023 г. Тя ще запази Втвърдяването на DCOM разрешено и премахване на възможността да го забраните.

Времева линия

Издание на актуализацията	Промяна в поведението
8 юни 2021 г.	Издание на фаза 1 – Втвърдяването на промените е забранено по подразбиране, но с възможност да ги разрешите чрез ключ от системния регистър.
14 юни 2022 г.	Издание от фаза 2 – втвърдяване на промените, разрешени по подразбиране, но с възможност за забраняване чрез ключ от системния регистър.
14 март 2023 г.	Издание на фаза 3 – втвърдяване на промените, разрешени по подразбиране, без възможност да ги забранявате. По този въпрос трябва да разрешите всички проблеми със съвместимостта с промените и приложенията за втвърдяване във вашата среда.

Тестване за съвместимост на DCOM втвърдяване

Нови събития за DCOM грешки

За да ви помогнем да идентифицирате приложенията, които може да имат проблеми със съвместимостта, след като разрешим промените за подсилване на защитата на DCOM, добавихме нови събития за DCOM грешки в регистрационния файл на системата. Вижте таблиците по-долу. Системата ще регистрира тези събития, ако открие, че DCOM клиентско приложение се опитва да активира DCOM сървър с помощта на ниво на удостоверяване, по-малко от RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Можете да проследите до клиентското устройство от регистрационния файл на събитията от страната на сървъра и да използвате регистрите на събитията от страна на клиента, за да намерите приложението.

Събития на сървъра – Указване, че сървърът получава искания от по-ниско ниво

ИД на събитие	Съобщение
10036	"Правилата за ниво на удостоверяване от страна на сървъра не позволяват на потребителя %1\%2 SID (%3) от адрес %4 да активира DCOM сървър. Повдигнете нивото на удостоверяване на активиране поне за да RPC_C_AUTHN_LEVEL_PKT_INTEGRITY в клиентското приложение." (%1 – домейн, %2 – потребителско име, %3 – ПОТРЕБИТЕЛСКИ SID, %4 – IP адрес на клиента)

ИД на събитие

Съобщение

10036

"Правилата за ниво на удостоверяване от страна на сървъра не позволяват на потребителя %1\%2 SID (%3) от адрес %4 да активира DCOM сървър. Повдигнете нивото на удостоверяване на активиране поне за да RPC_C_AUTHN_LEVEL_PKT_INTEGRITY в клиентското приложение."

(%1 – домейн, %2 – потребителско име, %3 – ПОТРЕБИТЕЛСКИ SID, %4 – IP адрес на клиента)

Клиентски събития – посочете кое приложение изпраща искания от по-ниско ниво

ИД на събитие	Съобщение
10037	"Приложение %1 с PID %2 иска да активира CLSID %3 на компютър %4 с изрично зададено ниво на удостоверяване на %5. Най-ниското ниво на удостоверяване на активиране, изисквано от DCOM, е 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). За да повишите нивото на удостоверяване на активирането, се свържете с доставчика на приложението."
10038	"Приложение %1 с PID %2 иска да активира CLSID %3 на компютър %4 с ниво на удостоверяване по подразбиране за активиране на %5. Най-ниското ниво на удостоверяване на активиране, изисквано от DCOM, е 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). За да повишите нивото на удостоверяване на активирането, се свържете с доставчика на приложението." (%1 – Път на приложение, %2 – PID на приложение, %3 – CLSID от COM класа, който приложението иска да активира, %4 – Име на компютъра, %5 – Стойност на нивото на удостоверяване)

ИД на събитие

Съобщение

10037

"Приложение %1 с PID %2 иска да активира CLSID %3 на компютър %4 с изрично зададено ниво на удостоверяване на %5. Най-ниското ниво на удостоверяване на активиране, изисквано от DCOM, е 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). За да повишите нивото на удостоверяване на активирането, се свържете с доставчика на приложението."

10038

"Приложение %1 с PID %2 иска да активира CLSID %3 на компютър %4 с ниво на удостоверяване по подразбиране за активиране на %5. Най-ниското ниво на удостоверяване на активиране, изисквано от DCOM, е 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). За да повишите нивото на удостоверяване на активирането, се свържете с доставчика на приложението."

(%1 – Път на приложение, %2 – PID на приложение, %3 – CLSID от COM класа, който приложението иска да активира, %4 – Име на компютъра, %5 – Стойност на нивото на удостоверяване)

Наличност

Тези събития за грешки са налични само за подмножество на версии на Windows; вижте таблицата по-долу.

Версия на Windows	Налични на или след тези дати
Windows Server 2022	27 септември 2021 г. KB5005619
Windows 10, версия 2004, Windows 10, версия 20H2, Windows 10, версия 21H1	1 септември 2021 г. KB5005101
Windows 10, версия 1909	26 август 2021 г. KB5005103
Windows Server 2019, Windows 10, версия 1809	26 август 2021 г. KB5005102
Windows Server 2016, Windows 10, версия 1607	Септември 14, 2021 г. KB5005573
Windows Server 2012 R2 и Windows 8.1	12 октомври 2021 г. KB5006714
Windows 11, версия 22H2	30 септември 2022 г. KB5017389

Корекция за автоматично повишаване на искането от страна на клиента

Ниво на удостоверяване за всички не анонимни искания за активиране

За да намалим проблемите със съвместимостта на приложенията, автоматично повишихме нивото на удостоверяване за всички не анонимни искания за активиране от базирани на Windows DCOM клиенти, за да RPC_C_AUTHN_LEVEL_PKT_INTEGRITY като минимум. С тази промяна повечето базирани на Windows DCOM клиентски заявки автоматично ще бъдат приети с промените DCOM втвърдяване, разрешени от страната на сървъра без никакви допълнителни промени в DCOM клиента. Освен това повечето клиенти на Windows DCOM автоматично ще работят с промени за втвърдяване на DCOM от страна на сървъра без никакви допълнителни промени в DCOM клиента.

Забележка Тази корекция ще продължи да бъде включена в кумулативните актуализации.

Времева линия за актуализиране на корекция

От първоначалното издание през ноември 2022 г., корекцията за автоматично повишаване е имала няколко актуализации.

Актуализация от ноември 2022 г.
- Тази актуализация автоматично повишава нивото на удостоверяване на активирането на целостта на пакетите. Тази промяна е забранена по подразбиране в Windows Server 2016 и Windows Server 2019.
Актуализация от декември 2022 г.
- Промяната от ноември е разрешена по подразбиране за Windows Server 2016 и Windows Server 2019.
- Тази актуализация също така обърнато внимание на проблем, който е засегнал анонимно активиране на Windows Server 2016 и Windows Server 2019.

Актуализация от януари 2023 г.
- Тази актуализация обърнато е внимание на проблем, който засяга анонимното активиране на платформи от Windows Server 2008 до Windows 10 (първоначалната версия е издадена през юли 2015 г.).

Ако сте инсталирали кумулативните актуализации на защитата, считано от януари 2023 г. на вашите клиенти и сървъри, те ще имат напълно разрешена най-новата корекция за автоматично издигане.

Настройка на системния регистър за разрешаване или забраняване на промените за подсилване

По време на фазите на времевата линия, в които можете да разрешите или забраните промените за втвърдяване за CVE-2021-26414, можете да използвате следния ключ от системния регистър:

Път: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
Име на стойност: "RequireIntegrityActivationAuthenticationLevel"
Тип: dword
Данни за стойност: по подразбиране= 0x00000000 означава забранено. 0x00000001 означава разрешено. Ако тази стойност не е дефинирана, тя ще бъде разрешена по подразбиране.

Забележка Трябва да въведете данни за стойности в шестнадесетичен формат.

Важно Трябва да рестартирате устройството, след като настроите този ключ от системния регистър, за да влезе в сила.

Забележка Разрешаването на ключа от системния регистър по-горе ще направи DCOM сървърите да налагат Authentication-Level на RPC_C_AUTHN_LEVEL_PKT_INTEGRITY или по-нова версия за активиране. Това не засяга анонимно активиране (активиране с помощта на ниво на удостоверяване RPC_C_AUTHN_LEVEL_NONE). Ако DCOM сървърът позволява анонимно активиране, той все още ще бъде разрешен дори при промени за втвърдяване на DCOM са разрешени.

Забележка Тази стойност на системния регистър не съществува по подразбиране; трябва да го създадете. Windows ще я прочете, ако съществува, и няма да я презапише.

Забележка Инсталирането на по-късни актуализации няма да промени или премахне съществуващи записи и настройки в системния регистър.