KB5008380 – aktualizace ověřování (CVE-2021-42287)

Shrnutí

CVE-2021-42287 řeší chybu zabezpečení obejití zabezpečení, která ovlivňuje certifikát PAC (Privilege Attribute Certificate) protokolu Kerberos a umožňuje potenciálním útočníkům zosobnit řadiče domény. Pokud chcete tuto chybu zabezpečení zneužít, může ohrožený účet domény způsobit, že centrum distribuce klíčů (KDC) vytvoří lístek služby s vyšší úrovní oprávnění, než je úroveň ohroženého účtu. Toho dosahuje tím, že brání službě KDC v identifikaci účtu, pro který lístek služby s vyššími oprávněními je.

Vylepšený proces ověřování v cve-2021-42287 přidává nové informace o původním žadateli do tokenů protokolu Kerberos Ticket-Granting Tickets (TGT). Později, když se pro účet vygeneruje lístek služby Kerberos, ověří nový proces ověřování, že účet, který požadoval TGT, je stejný účet, na který se odkazuje v lístku služby.

Po instalaci aktualizací Systému Windows z 9. listopadu 2021 nebo novějších se do TGT všech doménových účtů, a to i těch, které se dříve rozhodly odmítnou řadiče domény, přidat řadiče domény.

Provedení akce

Pokud chcete chránit své prostředí a vyhnout se výpadkům, proveďte následující kroky:

Aktualizujte všechna zařízení, která hostují roli řadiče domény služby Active Directory, a to instalací aktualizace zabezpečení z 9. listopadu 2021 a aktualizace OOB (out-of-band) ze 14. listopadu 2021. Níže najdete číslo OOB KB pro váš konkrétní operační systém.

Operační systém	Číslo KB
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Po instalaci aktualizace zabezpečení z 9. listopadu 2021 a aktualizace OOB z 14. listopadu 2021 na všechny řadiče domény služby Active Directory doporučujeme povolit režim vynucení na všech řadičích domény služby Active Directory.
Od aktualizace fáze vynucení z 11. října 2022 bude režim vynucení povolený na všech řadičích domény s Windows a bude se vyžadovat.

Načasování aktualizací Windows – (aktualizováno 31. 1. 23)

Tyto Aktualizace Windows budou vydány ve třech fázích:

Počáteční nasazení – zavedení aktualizace a klíče registru PacRequestorEnforcement
Druhé nasazení – odebrání hodnoty PacRequestorEnforcement 0 (možnost zakázat klíč registru)
Fáze vynucení – režim vynucení je povolený. Tato fáze zastarává klíč PacRequestorEnforcement a už ho nepřečte.

9. listopadu 2021: Počáteční fáze nasazení

Počáteční fáze nasazení začíná aktualizací Windows vydaná 9. listopadu 2021. Tato verze:

Přidává ochranu proti CVE-2021-42287
Přidá podporu pro hodnotu registru PacRequestorEnforcement , která umožňuje přechod do fáze vynucení v rané fázi.

Zmírnění rizik spočívá v instalaci aktualizací Windows na všechna zařízení, která jsou hostitelem role řadiče domény a řadičů domény jen pro čtení (RODC).

12. července 2022: Druhá fáze nasazení

Druhá fáze nasazení začíná aktualizací Windows vydaná 12. července 2022. Tato fáze odebere nastavení PacRequestorEnforcement na hodnotu 0. Nastavení PacRequestorEnforcement na hodnotu 0 po instalaci této aktualizace bude mít stejný účinek jako nastavení PacRequestorEnforcement na hodnotu 1. Řadiče domény budou v režimu nasazení.

Poznámka Tato fáze není nutná, pokud pacRequestorEnforcement nebyl ve vašem prostředí nikdy nastaven na hodnotu 0. Tato fáze pomáhá zajistit, aby zákazníci, kteří nastavili PacRequestorEnforcement na hodnotu 0, přešli na nastavení 1 před fází vynucení.

Poznámka Tato aktualizace předpokládá, že všechny řadiče domény jsou aktualizovány aktualizací systému Windows z 9. listopadu 2021 nebo novější.

11. října 2022: Fáze vynucení – (aktualizováno 31. 1. 23)

Verze z 11. října 2022 převede všechny řadiče domény služby Active Directory do fáze vynucení. Fáze vynucení vyřadí klíč PacRequestorEnforcement a už ho nepřečte. V důsledku toho řadiče domény Windows, které mají nainstalovanou aktualizaci z 11. října 2022, už nebudou kompatibilní s:

Řadiče domény, které nenainstalovali aktualizace z 9. listopadu 2021 nebo novější.
Řadiče domény, které nainstalovaly aktualizace z 9. listopadu 2021 nebo novější, ale ještě nenainstalovaly aktualizaci z 12. července 2022 a mají hodnotu registru PacRequestorEnforcement 0.

Řadiče domény s Windows, které mají nainstalovanou aktualizaci z 11. října 2022, ale zůstanou kompatibilní s:

Řadiče domény Windows s nainstalovanými aktualizacemi z 11. října 2022 nebo novějšími
Řadiče domény windows, které mají nainstalované aktualizace z 9^. listopadu 2021 nebo novější a mají hodnotu PacRequestorEnforcement nebo 1 nebo 2

Informace o klíči registru

Po instalaci ochrany CVE-2021-42287 v aktualizacích Windows vydaných mezi 9. listopadem 2021 a 14. červnem 2022 bude k dispozici následující klíč registru:

Podklíč registru	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Hodnota	PacRequestorEnforcement
Datový typ	REG_DWORD
Data	1: Přidejte nový pac uživatelům, kteří se ověřili pomocí řadiče domény služby Active Directory s nainstalovanými aktualizacemi z 9. listopadu 2021 nebo novějšími. Pokud má uživatel při ověřování nový pac, ověří se pac. Pokud uživatel nemá nový pac, neprovádí se žádná další akce. Řadiče domény služby Active Directory v tomto režimu jsou ve fázi nasazení. 2: Přidejte nový pac uživatelům, kteří se ověřili pomocí řadiče domény služby Active Directory s nainstalovanými aktualizacemi z 9. listopadu 2021 nebo novějšími. Pokud má uživatel při ověřování nový pac, ověří se pac. Pokud uživatel nemá nový pac, ověřování se odmítne. Řadiče domény služby Active Directory v tomto režimu jsou ve fázi vynucení. 0: Zakáže klíč registru. Nedoporučuje se. Řadiče domény služby Active Directory jsou v tomto režimu ve fázi Zakázáno. Tato hodnota po aktualizaci z 12. července 2022 nebo novějších nebude existovat. Důležité Nastavení 0 není kompatibilní s nastavením 2. K občasným selháním může dojít, pokud se v doménové struktuře používají obě nastavení. Pokud používáte nastavení 0, doporučujeme před přechodem na nastavení 2 (režim vynucení) alespoň na týden převést nastavení 0 (Zakázat) na nastavení 1 (Nasazení).
Základní	1 (pokud není nastavený klíč registru)
Vyžaduje se restartování?	Ne

Události auditování

Aktualizace Windows z 9. listopadu 2021 také přidá nové protokoly událostí.

PAC bez atributů

Služba KDC narazí na TGT bez vyrovnávací paměti atributu PAC. Je pravděpodobné, že jiná služba KDC v protokolech aktualizaci neobsahuje nebo je v zakázaném režimu.

Protokol událostí	Systém
Typ události	Upozornění
Zdroj události	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID události	35
Text události	Centrum distribuce klíčů (KDC) zjistilo lístek TGT (ticket-grant-ticket) z jiného KDC ("<název KDC>"), který neobsahoval pole atributů PAC.

Lístek bez PAC

KDC se setká s lístkem TGT nebo jiným dokladem bez PAC. Tím se službě KDC zabrání vynucování kontrol zabezpečení lístku.

Protokol událostí	Systém
Typ události	Upozornění během fáze nasazení Chyba během fáze vynucení
Zdroj události	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID události	36
Text události	Centrum distribuce klíčů (KDC) zjistilo lístek, který neobsahoval pac při zpracování požadavku na jiný lístek. Tím se zabránilo spuštění kontrol zabezpečení a mohlo by dojít k ohrožení zabezpečení. Klient: <název domény>\<uživatelské jméno> Lístek pro: název služby <>

Lístek bez žadatele

Služba KDC narazí na lístek TGT nebo jiný lístek důkazů bez vyrovnávací paměti PAC Requestor. Je pravděpodobné, že služba KDC, která pac zkonstruoval, neobsahuje aktualizaci nebo je v režimu zakázáno.

Poznámka Důležité informace o události 37 najdete v části Známé problémy .

Protokol událostí	Systém
Typ události	Upozornění během fáze nasazení Chyba během fáze vynucení
Zdroj události	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID události	37
Text události	Centrum distribuce klíčů (KDC) zjistilo lístek, který při zpracování žádosti o jiný lístek neobsahoval informace o účtu, který o tento lístek požádal. Tím se zabránilo spuštění kontrol zabezpečení a mohlo by dojít k ohrožení zabezpečení. Pac lístku vytvořil: <název KDC> Klient: název domény <>\<název klienta> Lístek pro: název služby <>

Neshoda žadatele

Služba KDC narazí na lístek TGT nebo jiný doklad a účet, který si lístek TGT nebo důkaz vyžádal, neodpovídá účtu, pro který je lístek služby vytvořený.

Protokol událostí	Systém
Typ události	Chyba
Zdroj události	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID události	38
Text události	Centrum distribuce klíčů (KDC) zjistilo lístek, který obsahoval nekonzistentní informace o účtu, který lístek požadoval. To může znamenat, že se účet od vydání lístku přejmenoval, což mohlo být součástí pokusu o zneužití. Pac lístku vytvořil: <název Kdc> Klient: <název domény>\<uživatelské jméno> Lístek pro: název služby <> Vyžádání identifikátoru SID účtu ze služby Active Directory: <SID> Žádost o IDENTIFIKÁTOR SID účtu z lístku: <SID>

Známé problémy

Příznak	Alternativní řešení
Po instalaci aktualizací Windows vydaných 9. listopadu 2021 nebo novějších na řadičích domény se některým zákazníkům může po určitém nastavení hesla nebo operacích změn, jako jsou: Aktualizace nebo oprava CNO nebo VCO clusteru s podporou převzetí služeb při selhání Resetování hesla uživatele z konzoly Uživatelé a počítače služby Active Directory (dsa.msc) Vytvoření nového uživatele z konzoly Uživatelé a počítače služby Active Directory (dsa.msc) Změna hesla pro zařízení třetích stran připojená k doméně Pokud po instalaci aktualizací Windows vydaných 9. listopadu 2021 nebo novějších po dobu týdne nevidíte ID události 37 a PacRequestorEnforcement je buď 1, nebo 2, nebude to mít vliv na vaše prostředí. Pokud nastavíte PacRequestorEnforcement = 1, událost s ID 37 se zaprotokoluje jako upozornění, ale žádosti o změnu hesla budou úspěšné a nebudou mít vliv na uživatele. Pokud nastavíte PacRequestorEnforcement = 2, žádosti o změnu hesla selžou a způsobí také selhání výše uvedených operací.	Tento problém byl vyřešen v následujících aktualizacích: Windows 11 – KB5011563 Windows Server 2022 – KB5011558 Windows 10 verze 20H2, Windows 10 verze 21H1 a Windows 10 verze 21H2 – KB5011543 Windows 10 verze 1809 a Windows Server 2019 – KB5011551 Windows 10 verze 1607 a Windows Server 2016 – KB5012596 Windows Server 2012 R2 – KB5012670 Windows Server 2012 – KB5012666 Windows Server 2008 R2 – KB5012649 Windows Server 2008 SP2 – KB5012632

Příznak

Alternativní řešení

Po instalaci aktualizací Windows vydaných 9. listopadu 2021 nebo novějších na řadičích domény se některým zákazníkům může po určitém nastavení hesla nebo operacích změn, jako jsou:

Aktualizace nebo oprava CNO nebo VCO clusteru s podporou převzetí služeb při selhání
Resetování hesla uživatele z konzoly Uživatelé a počítače služby Active Directory (dsa.msc)
Vytvoření nového uživatele z konzoly Uživatelé a počítače služby Active Directory (dsa.msc)
Změna hesla pro zařízení třetích stran připojená k doméně

Pokud po instalaci aktualizací Windows vydaných 9. listopadu 2021 nebo novějších po dobu týdne nevidíte ID události 37 a PacRequestorEnforcement je buď 1, nebo 2, nebude to mít vliv na vaše prostředí.

Pokud nastavíte PacRequestorEnforcement = 1, událost s ID 37 se zaprotokoluje jako upozornění, ale žádosti o změnu hesla budou úspěšné a nebudou mít vliv na uživatele.

Pokud nastavíte PacRequestorEnforcement = 2, žádosti o změnu hesla selžou a způsobí také selhání výše uvedených operací.

Tento problém byl vyřešen v následujících aktualizacích:

Windows 11 – KB5011563
Windows Server 2022 – KB5011558
Windows 10 verze 20H2, Windows 10 verze 21H1 a Windows 10 verze 21H2 – KB5011543
Windows 10 verze 1809 a Windows Server 2019 – KB5011551
Windows 10 verze 1607 a Windows Server 2016 – KB5012596
Windows Server 2012 R2 – KB5012670
Windows Server 2012 – KB5012666
Windows Server 2008 R2 – KB5012649
Windows Server 2008 SP2 – KB5012632

Nejčastější dotazy

Otázka 1 Co se stane, když mám kombinaci řadičů domény služby Active Directory, které se aktualizují a neaktualizují?

Č. 1. Kombinace řadičů domény, které se aktualizují a neaktualizují, ale mají výchozí hodnotu klíče registru PacRequestorEnforcement 1, jsou vzájemně kompatibilní. Microsoft však důrazně nedoporučuje, aby řadiče domény, které jsou aktualizované a neaktualizovaly v prostředí.

Otázka 2 Co se stane, když mám kombinaci řadičů domény služby Active Directory, které mají různé hodnoty PacRequestorEnforcement?

Č. 2. Kombinace řadičů domény, které mají hodnoty PacRequestorEnforcement 0 a 1, jsou vzájemně kompatibilní. Kombinace řadičů domény, které mají hodnoty PacRequestorEnforcement 1 a 2, jsou vzájemně kompatibilní. Kombinace řadičů domény, které mají hodnoty PacRequestorEnforcement 0 a 2 , nejsou vzájemně kompatibilní a můžou způsobovat občasná selhání. Další podrobnosti najdete v části Informace o klíči registru.