Aktualizováno 20. 3. 2024 – Přidání odkazů na LDS
Shrnutí
CVE-2021-42291 řeší chybu zabezpečení spočívající v obejití zabezpečení, která umožňuje určitým uživatelům nastavit libovolné hodnoty u atributů citlivých na zabezpečení konkrétních objektů uložených ve službě Active Directory (AD) nebo Lightweight Directory Service (LDS). Aby uživatel mohl tuto chybu zabezpečení zneužít, musí mít dostatečná oprávnění k vytvoření odvozeného objektu počítače, například uživateli s uděleným oprávněním CreateChild pro objekty počítače. Tento uživatel by mohl vytvořit účet počítače pomocí volání Add protokolu LDAP (Lightweight Directory Access Protocol), které umožňuje příliš povolený přístup k atributu securityDescriptor . Kromě toho můžou tvůrci a vlastníci po vytvoření účtu upravit atributy citlivé na zabezpečení. V určitých scénářích se dá využít ke zvýšení oprávnění.
Poznámka LDS bude protokolovat události 3050, 3053, 3051 a 3054 o stavu implicitního přístupu k objektům, stejně jako ad.
Zmírnění rizik v CVE-2021-42291 se skládá z:
-
Další ověření autorizace, když se uživatelé bez oprávnění správce domény nebo služby LDS pokusí o operaci přidání protokolu LDAP pro objekt odvozený z počítače. To zahrnuje režim auditování ve výchozím nastavení, který provádí audity, pokud k takovým pokusům dojde, aniž by došlo k narušení požadavku, a režim vynucení, který takové pokusy blokuje.
-
Dočasné odebrání oprávnění implicitního vlastníka, když se uživatelé bez oprávnění správce domény pokusí o operaci úpravy protokolu LDAP u atributu securityDescriptor . Provede se ověření, aby se potvrdilo, jestli by uživatel mohl napsat popisovač zabezpečení bez oprávnění implicitního vlastníka. To zahrnuje také režim auditování podle výchozího nastavení, který audituje, když k takovým pokusům dojde, aniž by došlo k narušení požadavku, a režim vynucení, který takové pokusy blokuje.
Provedení akce
Pokud chcete chránit své prostředí a vyhnout se výpadkům, proveďte následující kroky:
-
Aktualizujte všechna zařízení, která jsou hostitelem role řadiče domény služby Active Directory nebo serveru LDS, instalací nejnovějších aktualizací systému Windows. Řadiče domény, které mají aktualizace z 9. listopadu 2021 nebo novější, budou mít ve výchozím nastavení změny v režimu auditování.
-
Sledujte v adresářové službě nebo v protokolu událostí LDS události 3044–3056 na řadičích domény a serverech LDS, které mají aktualizace systému Windows z 9. listopadu 2021 nebo novější. Protokolované události značí, že uživatel může mít nadměrná oprávnění k vytváření účtů počítačů s libovolnými atributy citlivými na zabezpečení. Nahlaste microsoftu všechny neočekávané scénáře pomocí případu podpory Premier nebo Unified Support nebo Centra Feedback. (Příklad těchto událostí najdete v části Nově přidané události.)
-
Pokud režim auditování nezjistí po dostatečně dlouhou dobu žádná neočekávaná oprávnění, přepněte do režimu vynucení, abyste zajistili, že nedojde k žádným negativním výsledkům. Nahlaste microsoftu všechny neočekávané scénáře pomocí případu podpory Premier nebo Unified Support nebo Centra Feedback.
Načasování aktualizací Windows
Tyto aktualizace windows budou vydány ve dvou fázích:
-
Počáteční nasazení – zavedení aktualizace, včetně režimů auditování podle výchozího nastavení, vynucení nebo zakázání konfigurovatelných pomocí atributu dSHeuristics .
-
Konečné nasazení – vynucení ve výchozím nastavení.
9. listopadu 2021: Počáteční fáze nasazení
Počáteční fáze nasazení začíná aktualizací Windows vydaná 9. listopadu 2021. Tato verze přidává auditování oprávnění nastavených uživateli bez oprávnění správce domény během vytváření nebo úpravy počítače nebo odvozených objektů. Přidá také režim vynucení a zakázání. Režim můžete nastavit globálně pro každou doménovou strukturu služby Active Directory pomocí atributu dSHeuristics .
(Aktualizováno 15. 12. 2023) Konečná fáze nasazení
Závěrečná fáze nasazení může začít po dokončení kroků uvedených v části Provedení akce. Pokud chcete přejít do režimu vynucení, postupujte podle pokynů v části Pokyny k nasazení a nastavte 28. a 29. bit u atributu dSHeuristics . Pak monitorujte události 3044–3046. Hlásí, když režim vynucení zablokoval operaci přidání nebo úpravy PROTOKOLU LDAP, která mohla být dříve povolena v režimu auditování.
Pokyny k nasazení
Nastavení informací o konfiguraci
Po instalaci cve-2021-42291 řídí chování aktualizace znaky 28 a 29 atributu dSHeuristics . Atribut dSHeuristics existuje v každé doménové struktuře služby Active Directory a obsahuje nastavení pro celou doménovou strukturu. Atribut dSHeuristics je atributem objektu "CN=Directory Service,CN=systém Windows NT,CN=Services,CN=Configuration,<Domain>" (AD) nebo "CN=Directory Service,CN=systém Windows NT,CN=Services,CN=Configuration,<konfigurační sada>" (LDS). Další informace najdete v článku 6.1.1.2.4.1.2 dSHeuristics a atribut DS-Heuristics .
Znak 28 – další ověřování AuthZ pro operace přidání protokolu LDAP
0: Režim auditování podle výchozího nastavení je povolený. Událost se zaprotokoluje, když uživatelé bez oprávnění správce domény nastavují popisovač securityDescriptor nebo jiné atributy na hodnoty, které by mohly udělovat nadměrná oprávnění, což může umožnit budoucí zneužití, u nových objektů AD odvozených počítačem.
1: Režim vynucení je povolený. To zabrání uživatelům bez oprávnění správce domény v nastavení popisovače securityDescriptor nebo jiných atributů na hodnoty, které by mohly udělovat nadměrná oprávnění k objektům AD odvozeným z počítače. Pokud k tomu dojde, zaprotokoluje se také událost.
2: Zakáže aktualizované auditování a nevynucuje přidané zabezpečení. Nedoporučuje se.
Příklad: Pokud jste ve své doménové struktuře neměli povolené žádné jiné nastavení dSHeuristics a chcete přepnout do režimu vynucení pro další ověřování AuthZ, měl by být atribut dSHeuristics nastavený na:
"0000000001000000000200000001"
V tomto případě jsou nastavené znaky:
10. znak : Musí být nastaven na 1, pokud má atribut dSHeuristics alespoň 10 znaků
.
20. znak: Musí být nastaven na hodnotu 2, pokud má atribut dSHeuristics alespoň 20 znaků
.
28. znak: Pokud chcete povolit režim vynucení pro další ověřování AuthZ, musí být nastavená na hodnotu 1.
Znak 29 – dočasné odebrání implicitního vlastníka pro operace úpravy PROTOKOLU LDAP
0: Režim auditování podle výchozího nastavení je povolený. Událost se zaprotokoluje, když uživatelé bez oprávnění správce domény nastavují popisovač securityDescriptor na hodnoty, které můžou u stávajících objektů AD odvozených z počítače udělovat nadměrná oprávnění, což může v budoucnu umožnit zneužití.
1: Režim vynucení je povolený. To zabrání uživatelům bez oprávnění správce domény v nastavení popisovače securityDescriptor na hodnoty, které by mohly udělovat nadměrná oprávnění k existujícím objektům AD odvozeným z počítače. Pokud k tomu dojde, zaprotokoluje se také událost.
2:Zakáže aktualizované auditování a nevynucuje přidané zabezpečení. Nedoporučuje se.
Příklad: Pokud jste v doménové struktuře nastavili příznak dsHeuristics pro další ověření AuthZ a chcete přepnout do režimu vynucení pro dočasné odebrání implicitního vlastnictví, měl by být atribut dSHeuristics nastavený na:
"00000000010000000002000000011"
V tomto případě jsou nastavené znaky:
10. znak: Pokud má atribut dSHeuristics alespoň 10 znaků
, musí být nastaven na hodnotu 1.
20. znak: Musí být nastaven na hodnotu 2, pokud má atribut dSHeuristics alespoň 20 znaků
.
28. znak: Pokud chcete povolit režim vynucení pro další ověřování
AuthZ, musí být nastavená na hodnotu 1.
29. znak: Pokud chcete povolit režim vynucení pro dočasné odebrání implicitního vlastnictví, musí být nastavená na hodnotu 1.
Nově přidané události
Aktualizace Windows z 9. listopadu 2021 také přidá nové protokoly událostí.
Události změn režimu – další ověřování AuthZ pro operace přidání protokolu LDAP
Události, ke kterým dochází při změně bitu 28 atributu dSHeuristics , což změní režim dalšího ověření AuthZ pro část operace přidání protokolu LDAP aktualizace.
|
Protokol událostí |
Adresářové služby |
|
Typ události |
Informační |
|
ID události |
3050 |
|
Text události |
Adresář je nakonfigurovaný tak, aby během operací přidání ldap vynucoval autorizaci podle atributů. Toto nastavení je nejbezpečnější a nevyžaduje se žádná další akce. |
|
Protokol událostí |
Adresářové služby |
|
Typ události |
Upozornění |
|
ID události |
3051 |
|
Text události |
Adresář je nakonfigurovaný tak, aby během operací přidání ldap nevynucoval autorizaci podle atributů. Události upozornění budou protokolovány, ale nebudou blokovány žádné požadavky. Toto nastavení není bezpečné a mělo by se používat pouze jako dočasný krok při řešení potíží. Na níže uvedeném odkazu si projděte navrhovaná omezení rizik. |
|
Protokol událostí |
Adresářové služby |
|
Typ události |
Chyba |
|
ID události |
3052 |
|
Text události |
Adresář je nakonfigurovaný tak, aby během operací přidání ldap nevynucoval autorizaci podle atributů. Nebudou se protokolovat žádné události a nebudou blokovány žádné požadavky. Toto nastavení není bezpečné a mělo by se používat pouze jako dočasný krok při řešení potíží. Na níže uvedeném odkazu si projděte navrhovaná omezení rizik. |
Události změny režimu – dočasné odebrání práv implicitního vlastníka
Události, ke kterým dochází při změně bitu 29 atributu dSHeuristics , což změní režim dočasného odebrání implicitního vlastníka části aktualizace.
|
Protokol událostí |
Adresářové služby |
|
Typ události |
Informační |
|
ID události |
3053 |
|
Text události |
Adresář byl nakonfigurován tak, aby při počátečním nastavení nebo úpravě atributu nTSecurityDescriptor během operací přidávání a úprav protokolu LDAP blokoval implicitní oprávnění vlastníka. Toto nastavení je nejbezpečnější a nevyžaduje se žádná další akce. |
|
Protokol událostí |
Adresářové služby |
|
Typ události |
Upozornění |
|
ID události |
3054 |
|
Text události |
Adresář byl nakonfigurován tak, aby umožňoval implicitní oprávnění vlastníka při počátečním nastavení nebo úpravě atributu nTSecurityDescriptor během operací přidání a úprav protokolu LDAP. Události upozornění budou protokolovány, ale nebudou blokovány žádné požadavky. Toto nastavení není bezpečné a mělo by se používat pouze jako dočasný krok při řešení potíží. |
|
Protokol událostí |
Adresářové služby |
|
Typ události |
Chyba |
|
ID události |
3055 |
|
Text události |
Adresář byl nakonfigurován tak, aby umožňoval implicitní oprávnění vlastníka při počátečním nastavení nebo úpravě atributu nTSecurityDescriptor během operací přidání a úprav protokolu LDAP. Nebudou se protokolovat žádné události a nebudou blokovány žádné požadavky. Toto nastavení není bezpečné a mělo by se používat pouze jako dočasný krok při řešení potíží. |
Události režimu auditu
Události, ke kterým dochází v režimu auditování, za účelem protokolování potenciálních problémů se zabezpečením při operaci přidání nebo úpravy protokolu LDAP.
|
Protokol událostí |
Adresářové služby |
|
Typ události |
Upozornění |
|
ID události |
3047 |
|
Text události |
Adresářová služba zjistila požadavek na přidání protokolu LDAP pro následující objekt, který by normálně byl zablokován z následujících bezpečnostních důvodů. Klient neměl oprávnění k zápisu jednoho nebo více atributů zahrnutých v žádosti o přidání na základě výchozího sloučeného popisovače zabezpečení. Požadavek mohl pokračovat, protože adresář je aktuálně nakonfigurovaný v režimu jen auditu pro tuto kontrolu zabezpečení. Dn objektu: <> DN vytvořeného objektu Třída objektu: <vytvořený objekt objectClass> Uživatel: <uživatel, který se pokusil přidat> LDAP IP adresa klienta: <IP adresu žadatele> Zabezpečení: <SD, o který se pokusili> |
|
Protokol událostí |
Adresářové služby |
|
Typ události |
Upozornění |
|
ID události |
3048 |
|
Text události |
Adresářová služba zjistila požadavek na přidání protokolu LDAP pro následující objekt, který by normálně byl zablokován z následujících bezpečnostních důvodů. Klient do žádosti o přidání zahrnul atribut nTSecurityDescriptor, ale neměl explicitní oprávnění k zápisu jedné nebo více částí nového popisovače zabezpečení na základě výchozího sloučeného popisovače zabezpečení. Požadavek mohl pokračovat, protože adresář je aktuálně nakonfigurovaný v režimu jen auditu pro tuto kontrolu zabezpečení. Dn objektu: <> DN vytvořeného objektu Třída objektu: <vytvořený objekt objectClass> Uživatel: <uživatel, který se pokusil přidat> LDAP IP adresa klienta: <IP adresu žadatele> |
|
Protokol událostí |
Adresářové služby |
|
Typ události |
Upozornění |
|
ID události |
3049 |
|
Text události |
Adresářová služba zjistila požadavek na úpravu protokolu LDAP pro následující objekt, který by normálně byl zablokován z následujících bezpečnostních důvodů. Klient do žádosti o přidání zahrnul atribut nTSecurityDescriptor, ale neměl explicitní oprávnění k zápisu jedné nebo více částí nového popisovače zabezpečení na základě výchozího sloučeného popisovače zabezpečení. Požadavek mohl pokračovat, protože adresář je aktuálně nakonfigurovaný v režimu jen auditu pro tuto kontrolu zabezpečení. Dn objektu: <> DN vytvořeného objektu Třída objektu: <vytvořený objekt objectClass> Uživatel: <uživatel, který se pokusil přidat> LDAP IP adresa klienta: <IP adresu žadatele> |
|
Protokol událostí |
Adresářové služby |
|
Typ události |
Upozornění |
|
ID události |
3056 |
|
Text události |
Adresářová služba zpracovala dotaz na atribut sdRightsEffective na objekt zadaný níže. Vrácená maska přístupu WRITE_DAC, ale jenom proto, že adresář je nakonfigurovaný tak, aby povoloval implicitní oprávnění vlastníka, což není zabezpečené nastavení. Dn objektu: <> DN vytvořeného objektu Uživatel: <uživatel, který se pokusil přidat> LDAP IP adresa klienta: <IP adresu žadatele> |
Režim vynucení – Přidání selhání protokolu LDAP
Události, ke kterým dochází při odepření operace přidání protokolu LDAP.
|
Protokol událostí |
Adresářové služby |
|
Typ události |
Upozornění |
|
ID události |
3044 |
|
Text události |
Adresářová služba zamítla požadavek na přidání protokolu LDAP pro následující objekt. Žádost byla zamítnuta, protože klient neměl oprávnění k zápisu jednoho nebo více atributů zahrnutých do žádosti o přidání na základě výchozího sloučeného popisovače zabezpečení. Dn objektu: <> DN vytvořeného objektu Třída objektu: <vytvořený objekt objectClass> Uživatel: <uživatel, který se pokusil přidat> LDAP IP adresa klienta: <IP adresu žadatele> Zabezpečení: <SD, o který se pokusili> |
|
Protokol událostí |
Adresářové služby |
|
Typ události |
Upozornění |
|
ID události |
3045 |
|
Text události |
Adresářová služba zamítla požadavek na přidání protokolu LDAP pro následující objekt. Žádost byla zamítnuta, protože klient zahrnul do požadavku přidání atribut nTSecurityDescriptor, ale neměl explicitní oprávnění k zápisu jedné nebo více částí nového popisovače zabezpečení na základě výchozího sloučeného popisovače zabezpečení. Dn objektu: <> DN vytvořeného objektu Třída objektu: <vytvořený objekt objectClass> Uživatel: <uživatel, který se pokusil přidat> LDAP IP adresa klienta: <IP adresu žadatele> |
Režim vynucení – Selhání úprav protokolu LDAP
Události, ke kterým dochází při odepření operace úpravy protokolu LDAP.
|
Protokol událostí |
Adresářové služby |
|
Typ události |
Upozornění |
|
ID události |
3046 |
|
Text události |
Adresářová služba zamítla požadavek na úpravu protokolu LDAP pro následující objekt. Požadavek byl zamítnut, protože klient zahrnul atribut nTSecurityDescriptor do žádosti o úpravu, ale neměl explicitní oprávnění k zápisu jedné nebo více částí nového popisovače zabezpečení na základě existujícího popisovače zabezpečení objektu. Dn objektu: <> DN vytvořeného objektu Třída objektu: <vytvořený objekt objectClass> Uživatel: <uživatel, který se pokusil přidat> LDAP IP adresa klienta: <IP adresu žadatele> |
Nejčastější dotazy
Otázka 1 Co se stane, když mám kombinaci řadičů domény služby Active Directory, které se aktualizují a neaktualizují?
A1 Řadiče domény, které nejsou aktualizované, nebudou protokolovat události související s touto chybou zabezpečení.
Otázka 2: Co je potřeba udělat pro Read-Only řadiče domény (RODC)?
A2 Nic; Operace přidání a úpravy protokolu LDAP nemohou cílit na řadiče domény jen pro čtení.
Otázka 3: Mám produkt nebo proces třetí strany, který po povolení režimu vynucení selže. Musím této službě nebo uživateli udělit práva správce domény?
A3 Obecně nedoporučujeme jako první řešení tohoto problému přidávat službu nebo uživatele do skupiny Domain Administrators. Prozkoumejte protokoly událostí, abyste zjistili, jaká konkrétní oprávnění se vyžadují, a zvažte delegování práv pro daného uživatele na samostatnou organizační jednotku určenou pro tento účel.
Q4 Zobrazují se události auditu také pro servery LDS. Proč se to děje?
A4Vše výše uvedené platí také pro službu AD LDS, i když je velmi neobvyklé mít počítačové objekty v LDS. Pokud režim auditování nezjistí žádná neočekávaná oprávnění, je také třeba provést kroky pro zmírnění rizik, aby se povolila ochrana pro službu AD LDS.
