Актуализирано 12.04.2023 г. – Последна промяна на датата на фазата на разполагане
Резюме
CVE-2021-42291 обръща внимание на уязвимост при заобикаляне на защитата, която позволява на определени потребители да задават произволни стойности на чувствителни към защитата атрибути на определени обекти, съхранявани в Active Directory (AD). За да използва тази уязвимост, потребителят трябва да има достатъчно права за създаване на компютърен акаунт, като например потребител, дал разрешения CreateChild за компютърни обекти. Този потребител може да създаде компютърен акаунт с помощта на lightweight Directory Access Protocol (LDAP) Добавяне на повикване, което позволява прекалено погрешен достъп до атрибута securityDescriptor . Освен това създателите и собствениците могат да променят атрибутите, чувствителни към защитата, след като създадат акаунт.
Предпазните мерки в CVE-2021-42291 се състоят от:
-
Допълнителна проверка за удостоверяване, когато потребители без права на администратор на домейн се опитват да извършат операция за добавяне на LDAP за обект, извлечен от компютър. Това включва режим "Проверка по подразбиране", който проверява кога възникват такива опити, без да пречи на искането, и режим на изпълнение, който блокира тези опити.
-
Временно премахване на привилегиите на имплицитния собственик, когато потребители без права на администратор на домейн се опитват да извършат операция LDAP Modify на атрибута securityDescriptor . Извършва се проверка, за да се провери дали на потребителя би било разрешено да пише дескриптор на защитата без неявни привилегии на собственик. Това включва и режим "Проверка по подразбиране", който проверява кога възникват такива опити, без да пречи на искането, и режим на изпълнение, който блокира тези опити.
Предприемане на действие
За да защитите вашата среда и да избегнете прекъсвания, изпълнете следните стъпки:
-
Актуализирайте всички устройства, които хостват ролята на домейнов контролер на Active Directory, като инсталирате актуализацията от 9 ноември 2021 г. Това ще реализира промените в режим на проверка по подразбиране.
-
Следете регистъра на събитията на справочната услуга за 3044-3056 събития на домейнови контролери, които имат актуализациите на Windows от 9 ноември 2021 г. или по-нови, издадени преди програмния режим на прилагане. Регистрираните събития показват, че потребителят може да има прекомерни привилегии за създаване на компютърни акаунти с произволни атрибути, чувствителни към защитата. Съобщете за неочаквани сценарии на Microsoft, като използвате случай от тип Premier или Unified Support или центъра за обратна връзка. (Пример за тези събития можете да намерите в раздела Новодобавени събития.)
-
Ако режимът на проверка не открие неочаквани привилегии за достатъчно дълъг период от време, превключете в режим на изпълнение, за да се уверите, че няма да възникнат отрицателни резултати. Съобщете за неочаквани сценарии на Microsoft, като използвате случай от тип Premier или Unified Support или центъра за обратна връзка.
Важно Режимът на прилагане ще бъде включен по подразбиране в предстояща актуализация не по-рано от 9 януари 2024 г.
Време на актуализациите на Windows
Тези актуализации на Windows ще бъдат издадени на две фази:
-
Първоначално разполагане – Въведение в актуализацията, включително режими "Проверка по подразбиране", "Прилагане" или "Забраняване", които могат да се конфигурират с помощта на атрибута dSHeuristics .
-
Окончателно разполагане – прилагане по подразбиране.
Важно Режимът на прилагане ще бъде включен по подразбиране в предстояща актуализация не по-рано от 9 януари 2024 г.
9 ноември 2021 г.: Първоначална фаза на разполагане
Началната фаза на разполагане започва с актуализацията на Windows, издадена на 9 ноември 2021 г. Това издание добавя проверката на разрешенията, зададени от потребители без права на администратор на домейн по време на създаването или промяната на компютър или обекти, производни от компютър. Тя също така добавя Прилагане и Режим на забраняване. Можете да зададете режима глобално за всяка гора на Active Directory с помощта на атрибута dSHeuristics .
(Актуализирано на 12.04.2023 г.) 9 януари 2024 г.: Окончателен етап на разполагане
Последната фаза на разполагане започва с актуализация на Windows, издадена не по-рано от 9 януари 2024 г. (която трябва да бъде определена). Тази фаза ще промени режима на прилагане по подразбиране.
Важно: Режимът на забраняване не се поддържа след 9 януари 2024 г.
Забележка Тази актуализация предполага, че всички домейнови контролери се актуализират с актуализацията от 9 ноември 2021 г. или по-нова.
Указания за разполагане
Задаване на информация за конфигурацията
След инсталиране на CVE-2021-42291 знаците 28 и 29 на атрибута dSHeuristics управляват поведението на актуализацията. Атрибутът dSHeuristics съществува във всяка гора на Active Directory и съдържа настройки за цялата гора. Атрибутът dSHeuristics е атрибут на обекта "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>". За повече информация вж . 6.1.1.2.4.1.2 dSHeuristics и DS-Heuristics .
Character 28 – Допълнителни проверки на AuthZ за операции за добавяне на LDAP
0: Режимът "Проверка по подразбиране" е разрешен. Събитието се регистрира, когато потребители без права на администратор на домейн задават securityDescriptor или други атрибути на стойности, които могат да предоставят прекомерни разрешения, потенциално позволяващи бъдеща експлоатация, на нови компютърно производни AD обекти.
1: Режимът на прилагане е разрешен. Това не позволява на потребителите без права на администратор на домейн да настройват securityDescriptor или други атрибути на стойности, които могат да предоставят прекомерно разрешения за обекти ad, производни на компютъра. Събитие също се регистрира, когато това се случи.
2: Забранява актуализираната проверка и не налага допълнителната защита. Не се препоръчва.
Пример: Ако нямате други настройки за dSHeuristics, разрешени във вашата гора, и искате да превключите към режим на изпълнение за допълнителна проверка на AuthZ, атрибутът dSHeuristics трябва да бъде зададен на:
"0000000001000000000200000001"
Знаците, които са зададени в този случай, са:
10-и знак: Трябва да бъде зададен на 1, ако атрибутът dSHeuristics е най-малко 10 знака
20-и знак: Трябва да бъде зададен на 2, ако атрибутът dSHeuristics е поне 20 знака
28-и знак: Трябва да е зададено на 1, за да се разреши режим на изпълнение за допълнителна проверка на AuthZ
Character 29 – Временно премахване на неявните операции "Собственик" за LDAP Modify
0: Режимът "Проверка по подразбиране" е разрешен. Събитие се регистрира, когато потребители без права на администратор на домейн настроят securityDescriptor на стойности, които могат да предоставят прекомерни разрешения, което потенциално позволява бъдеща експлоатация на съществуващи компютърни ad обекти.
1: Режимът на прилагане е разрешен. Това не позволява на потребителите без права на администратор на домейн да настройват securityDescriptor на стойности, които могат да предоставят прекомерно разрешения за съществуващи обекти ad, производни от компютъра. Събитие също се регистрира, когато това се случи.
2:Забранява актуализираната проверка и не налага допълнителната защита. Не се препоръчва.
Пример: Ако сте имали само флага за допълнителни проверки на authZ dsHeuristics във вашата гора и искате да превключите в режим на изпълнение за временно премахване на имплицитно премахване на собствеността, атрибутът dSHeuristics трябва да бъде зададен на:
"00000000010000000002000000011"
Знаците, които са зададени в този случай, са:
10-и знак: Трябва да се зададе на 1, ако атрибутът dSHeuristics е най-малко 10 знака
20-и знак: Трябва да бъде зададен на 2, ако атрибутът dSHeuristics е поне 20 знака
28-и знак: Трябва да е зададено на 1, за да се разреши режим на изпълнение за допълнителна проверка
на AuthZ
29-и знак: Трябва да е зададено на 1, за да се разреши режим на изпълнение за временно неявно премахване на собственост
Новодобавени събития
Актуализацията на Windows от 9 ноември 2021 г. също ще добави нови регистри на събитията.
Събития за промяна на режима – допълнителна проверка на AuthZ за операции за добавяне на LDAP
Събития, които възникват, когато се променя бит 28 на атрибута dSHeuristics , което променя режима на допълнителни проверки на AuthZ за частта с операции на LDAP Add от актуализацията.
|
Регистър на събитията |
Справочни услуги |
|
Тип събитие |
Информационна |
|
ИД на събитие |
3050 |
|
Текст на събитие |
Указателят е конфигуриран да налага удостоверяване по атрибут по време на операции за добавяне на LDAP. Това е най-защитената настройка и не се изискват допълнителни действия. |
|
Регистър на събитията |
Справочни услуги |
|
Тип събитие |
Предупреждение |
|
ИД на събитие |
3051 |
|
Текст на събитие |
Указателят е конфигуриран да не налага удостоверяване за отделен атрибут по време на операции за добавяне на LDAP. Предупредителните събития ще бъдат регистрирани, но никакви искания няма да бъдат блокирани. Тази настройка не е защитена и трябва да се използва само като временна стъпка за отстраняване на неизправности. Прегледайте предложените смекчавания във връзката по-долу. |
|
Регистър на събитията |
Справочни услуги |
|
Тип събитие |
Грешка |
|
ИД на събитие |
3052 |
|
Текст на събитие |
Указателят е конфигуриран да не налага удостоверяване за отделен атрибут по време на операции за добавяне на LDAP. Няма да се регистрират събития и никакви искания няма да бъдат блокирани. Тази настройка не е защитена и трябва да се използва само като временна стъпка за отстраняване на неизправности. Прегледайте предложените смекчавания във връзката по-долу. |
Събития за промяна в режима – временно премахване на неявни права на собственик
Събития, които възникват, когато се променя бит 29 на атрибута dSHeuristics , което променя режима на временно премахване на частта с имплицитни права на собственик от актуализацията.
|
Регистър на събитията |
Справочни услуги |
|
Тип събитие |
Информационна |
|
ИД на събитие |
3053 |
|
Текст на събитие |
Директорията е конфигурирана да блокира неявни привилегии на собственик при първоначалното задаване или модифициране на атрибута nTSecurityDescriptor по време на операции за добавяне и модифициране на LDAP. Това е най-защитената настройка и не се изискват допълнителни действия. |
|
Регистър на събитията |
Справочни услуги |
|
Тип събитие |
Предупреждение |
|
ИД на събитие |
3054 |
|
Текст на събитие |
Директорията е конфигурирана да позволява неявни привилегии на собственик при първоначалното задаване или модифициране на атрибута nTSecurityDescriptor по време на операции за добавяне и модифициране на LDAP. Предупредителните събития ще бъдат регистрирани, но никакви искания няма да бъдат блокирани. Тази настройка не е защитена и трябва да се използва само като временна стъпка за отстраняване на неизправности. |
|
Регистър на събитията |
Справочни услуги |
|
Тип събитие |
Грешка |
|
ИД на събитие |
3055 |
|
Текст на събитие |
Директорията е конфигурирана да позволява неявни привилегии на собственик при първоначалното задаване или модифициране на атрибута nTSecurityDescriptor по време на операции за добавяне и модифициране на LDAP. Няма да се регистрират събития и никакви искания няма да бъдат блокирани. Тази настройка не е защитена и трябва да се използва само като временна стъпка за отстраняване на неизправности. |
Събития в режима на проверка
Събития, които възникват в режим на проверка, за да регистрирате потенциални притеснения относно защитата с операция за добавяне или модифициране на LDAP.
|
Регистър на събитията |
Справочни услуги |
|
Тип събитие |
Предупреждение |
|
ИД на събитие |
3047 |
|
Текст на събитие |
Справочната услуга откри искане за добавяне на LDAP за следния обект, който обикновено би бил блокиран поради следните причини, свързани със защитата. Клиентът няма разрешение да пише един или повече атрибути, включени в искането за добавяне, въз основа на обединения дескриптор на защитата по подразбиране. Искането беше разрешено да продължи, защото указателят в момента е конфигуриран да бъде в режим само за проверка за тази проверка на защитата. Обект DN: <създадено DN> на обекта Клас на обекта: <създаден обект ObjectClass> Потребител: <потребител, който е опитал LDAP да добави> IP адрес на клиента: <IP адреса на искащия> Код на защитата: <SD картата, за която е направен опит> |
|
Регистър на събитията |
Справочни услуги |
|
Тип събитие |
Предупреждение |
|
ИД на събитие |
3048 |
|
Текст на събитие |
Справочната услуга откри искане за добавяне на LDAP за следния обект, който обикновено би бил блокиран поради следните причини, свързани със защитата. Клиентът включи атрибут nTSecurityDescriptor в искането за добавяне, но нямаше изрично разрешение за писане на една или повече части от новия дескриптор на защитата въз основа на обединения дескриптор на защитата по подразбиране. Искането беше разрешено да продължи, защото указателят в момента е конфигуриран да бъде в режим само за проверка за тази проверка на защитата. Обект DN: <създадено DN> на обекта Клас на обекта: <създаден обект ObjectClass> Потребител: <потребител, който е опитал LDAP да добави> IP адрес на клиента: <IP адреса на искащия> |
|
Регистър на събитията |
Справочни услуги |
|
Тип събитие |
Предупреждение |
|
ИД на събитие |
3049 |
|
Текст на събитие |
Справочната услуга откри искане за модифициране на LDAP за следния обект, който обикновено би бил блокиран поради следните причини, свързани със защитата. Клиентът включи атрибут nTSecurityDescriptor в искането за добавяне, но нямаше изрично разрешение за писане на една или повече части от новия дескриптор на защитата въз основа на обединения дескриптор на защитата по подразбиране. Искането беше разрешено да продължи, защото указателят в момента е конфигуриран да бъде в режим само за проверка за тази проверка на защитата. Обект DN: <създадено DN> на обекта Клас на обекта: <създаден обект ObjectClass> Потребител: <потребител, който е опитал LDAP да добави> IP адрес на клиента: <IP адреса на искащия> |
|
Регистър на събитията |
Справочни услуги |
|
Тип събитие |
Предупреждение |
|
ИД на събитие |
3056 |
|
Текст на събитие |
Справочната услуга обработва заявка за атрибута sdRightsEffective на обекта, зададен по-долу. Върнатата маска за достъп е включена WRITE_DAC, но само защото указателят е конфигуриран да позволява неявни привилегии на собственик, което не е защитена настройка. Обект DN: <създадено DN> на обекта Потребител: <потребител, който е опитал LDAP да добави> IP адрес на клиента: <IP адреса на искащия> |
Режим на изпълнение – неуспешно добавяне на LDAP
Събития, които възникват, когато е отказана операция за добавяне на LDAP.
|
Регистър на събитията |
Справочни услуги |
|
Тип събитие |
Предупреждение |
|
ИД на събитие |
3044 |
|
Текст на събитие |
Справочната услуга отказа искане за добавяне на LDAP за следния обект. Искането е отказано, защото клиентът няма разрешение да пише един или повече атрибути, включени в искането за добавяне, въз основа на обединения дескриптор на защитата по подразбиране. Обект DN: <създадено DN> на обекта Клас на обекта: <създаден обект ObjectClass> Потребител: <потребител, който е опитал LDAP да добави> IP адрес на клиента: <IP адреса на искащия> Код на защитата: <SD картата, за която е направен опит> |
|
Регистър на събитията |
Справочни услуги |
|
Тип събитие |
Предупреждение |
|
ИД на събитие |
3045 |
|
Текст на събитие |
Справочната услуга отказа искане за добавяне на LDAP за следния обект. Искането е отказано, защото клиентът е включил атрибут nTSecurityDescriptor в искането за добавяне, но няма изрично разрешение за записване на една или повече части от новия дескриптор на защитата въз основа на обединения дескриптор на защитата по подразбиране. Обект DN: <създадено DN> на обекта Клас на обекта: <създаден обект ObjectClass> Потребител: <потребител, който е опитал LDAP да добави> IP адрес на клиента: <IP адреса на искащия> |
Режим на изпълнение – неуспешни промени в LDAP Modify
Събития, които възникват, когато е отказана операция за модифициране на LDAP.
|
Регистър на събитията |
Справочни услуги |
|
Тип събитие |
Предупреждение |
|
ИД на събитие |
3046 |
|
Текст на събитие |
Справочната услуга отказа искане за модифициране на LDAP за следния обект. Искането е отказано, защото клиентът е включил атрибут nTSecurityDescriptor в искането за промяна, но няма изрично разрешение за записване на една или повече части от новия дескриптор на защитата въз основа на съществуващия дескриптор на защитата на обекта. Обект DN: <създадено DN> на обекта Клас на обекта: <създаден обект ObjectClass> Потребител: <потребител, който е опитал LDAP да добави> IP адрес на клиента: <IP адреса на искащия> |
Често задавани въпроси
В1 Какво се случва, ако имам смесица от домейнови контролери на Active Directory, които се актуализират и не се актуализират?
A1 Компютрите, които не са актуализирани, няма да регистрират събития, свързани с тази уязвимост.
В2 Какво трябва да направя за Read-Only домейнови контролери (RODCs)?
A2 Нищо; Операциите за добавяне и модифициране на LDAP не могат да бъдат насочени към RODCs.
В3 Имам продукт или процес на трето лице, който е неуспешен след разрешаването на режима на прилагане. Трябва ли да дам правата на администратор на услугата или на потребителския домейн?
A3 Обикновено не препоръчваме добавянето на услуга или потребител към групата на администраторите на домейна като първо решение на този проблем. Прегледайте регистрите на събитията, за да видите какво се изисква конкретно разрешение, и помислете за делегиране на подходящо ограничени права за този потребител в отделна организационна единица, определена за тази цел.
