Aktualisiert am 20.03.2024 – Hinzugefügte LDS-Verweise
Zusammenfassung
CVE-2021-42291 behebt eine Sicherheitsanfälligkeit bezüglich der Umgehung der Sicherheit, die es bestimmten Benutzern ermöglicht, beliebige Werte für sicherheitsrelevante Attribute bestimmter Objekte festzulegen, die in Active Directory (AD) oder Lightweight Directory Service (LDS) gespeichert sind. Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Benutzer über ausreichende Berechtigungen zum Erstellen eines vom Computer abgeleiteten Objekts verfügen, z. B. ein Benutzer, dem CreateChild-Berechtigungen für Computerobjekte erteilt wurden. Dieser Benutzer kann ein Computerkonto mit einem Lightweight Directory Access Protocol (LDAP) Add-Aufruf erstellen, der einen übermäßig permissiven Zugriff auf das securityDescriptor -Attribut ermöglicht. Außerdem können Ersteller und Besitzer sicherheitsrelevante Attribute nach der Erstellung eines Kontos ändern. Dies kann dazu genutzt werden, um in bestimmten Szenarien eine Erhöhung der Berechtigungen vorzunehmen.
Hinweis LDS protokolliert die Ereignisse 3050, 3053, 3051 und 3054 über den Status des impliziten Zugriffs auf Objekte, genau wie AD es tut.
Die Risikominderungen in CVE-2021-42291 umfassen:
-
Zusätzliche Berechtigungsüberprüfung, wenn Benutzer ohne Domänen- oder LDS-Administratorrechte einen LDAP-Add-Vorgang für ein von einem Computer abgeleitetes Objekt versuchen. Dies beinhaltet einen Modus „Standardmäßige Überwachung“, der prüft, wann solche Versuche auftreten, ohne die Anforderung zu stören, und einen Erzwingungsmodus, der solche Versuche blockiert.
-
Vorübergehendes Entfernen der Rechte des impliziten Besitzers, wenn Benutzer ohne Domänenadministratorrechte versuchen, eine LDAP-Änderungsoperation für das securityDescriptor-Attribut durchzuführen. Es wird überprüft, ob der Benutzer den Sicherheitsdeskriptor ohne implizite Berechtigungen des Eigentümers schreiben darf. Dies beinhaltet auch einen Modus „Standardmäßige Überwachung“, der prüft, wann solche Versuche auftreten, ohne die Anforderung zu stören, und einen Durchsetzungsmodus, der solche Versuche blockiert.
Handeln Sie
Gehen Sie wie folgt vor, um Ihre Umgebung zu schützen und Ausfälle zu vermeiden:
-
Aktualisieren Sie alle Geräte, die den Active Directory-Domänencontroller oder die LDS-Serverrolle hosten, indem Sie die neuesten Windows-Updates installieren. DCs mit Updates vom 9. November 2021 oder höher weisen standardmäßig die Änderungen im Überwachungsmodus auf.
-
Überwachen Sie das Verzeichnisdienst- oder LDS-Ereignisprotokoll auf 3044-3056-Ereignissen auf Domänencontrollern und LDS-Servern mit den Windows-Updates vom 9. November 2021 oder höher. Protokollierte Ereignisse weisen darauf hin, dass ein Benutzer möglicherweise übermäßige Berechtigungen zum Erstellen von Computerkonten mit beliebigen sicherheitsrelevanten Attributen hat. Melden Sie unerwartete Szenarien über einen Premier- oder Unified Support-Fall oder den Feedback-Hub an Microsoft. (Ein Beispiel für diese Ereignisse finden Sie im Abschnitt „Neu hinzugefügte Ereignisse“.)
-
Wenn im Überwachungsmodus über einen ausreichenden Zeitraum keine unerwarteten Berechtigungen erkannt werden, wechseln Sie in den Erzwingungsmodus, um sicherzustellen, dass keine negativen Ergebnisse auftreten. Melden Sie unerwartete Szenarien über einen Premier- oder Unified Support-Fall oder den Feedback-Hub an Microsoft.
Zeitplan für die Windows-Updates
Diese Windows-Updates werden in zwei Phasen veröffentlicht:
-
Erste Bereitstellung – Einführung des Updates, einschließlich der Modi „Standardmäßige Überwachung“, „Durchsetzung“ oder „Deaktivierung“, die mit dem Attribut dSHeuristics konfiguriert werden können.
-
Endgültige Bereitstellung: Standardmäßige Erzwingung.
9. November 2021: Erste Bereitstellungsphase
Die erste Bereitstellungsphase beginnt mit den am 9. November 2021 veröffentlichten Windows-Updates. Diese Version fügt die Überwachung von Berechtigungen hinzu, die von Benutzern ohne Domänenadministratorrechte während der Erstellung oder Änderung eines Computers oder von vom Computer abgeleiteten Objekten festgelegt wurden. Außerdem werden ein Erzwingungs- und ein Deaktivierungsmodus hinzufügt. Sie können den Modus global für jede Active Directory-Gesamtstruktur mithilfe des Attributs dSHeuristics festlegen.
(Aktualisiert am 15.12.2023) letzte Bereitstellungsphase
Die letzte Bereitstellungsphase kann beginnen, sobald Sie die im Abschnitt "Aktion ergreifen" aufgeführten Schritte abgeschlossen haben. Um in den Erzwingungsmodus zu wechseln, befolgen Sie die Anweisungen im Abschnitt "Bereitstellungsanleitung", um das 28. und 29. Bit für das Attribut dSHeuristics festzulegen. Überwachen Sie dann die 3044-3046-Ereignisse. Sie melden etwas, wenn der Erzwingungsmodus einen LDAP-Vorgang zum Hinzufügen oder Ändern blockiert hat, der zuvor im Überwachungsmodus zulässig war.
Bereitstellungsleitfaden
Informationen zur Einrichtungskonfiguration
Nach der Installation von CVE-2021-42291 steuern die Zeichen 28 und 29 des Attributs dSHeuristics das Verhalten des Updates. Das Attribut dSHeuristics ist in jeder Active Directory-Gesamtstruktur vorhanden und enthält Einstellungen für die gesamte Gesamtstruktur. Das Attribut dSHeuristics ist ein Attribut des Objekts "CN=Verzeichnisdienst,CN=Windows NT,CN=Dienste,CN=Konfiguration,<Domäne>" (AD ) oder "CN=Verzeichnisdienst,CN=Windows NT,CN=Dienste,CN=Konfiguration,<Konfigurationssatz>" (LDS). Weitere Informationen finden Sie unter 6.1.1.2.4.1.2 dSHeuristics und DS-Heuristics-Attribut.
Zeichen 28 – Zusätzliche AuthZ-Überprüfungen für LDAP-Add-Vorgänge
0: Der Modus „Standardmäßige Überwachung“ ist aktiviert. Ein Ereignis wird protokolliert, wenn Benutzer ohne Domänenadministratorrechte den securityDescriptor oder andere Attribute auf Werte setzen, die übermäßige Berechtigungen für neue vom Computer abgeleitete AD-Objekte gewähren und möglicherweise eine zukünftige Ausnutzung ermöglichen.
1: Der Erzwingungsmodus ist aktiviert. Dies verhindert, dass Benutzer ohne Domänenadministratorrechte den securityDescriptor oder andere Attribute auf Werte festlegen, die übermäßige Berechtigungen für vom Computer abgeleitete AD-Objekte gewähren könnten. In diesem Fall wird ebenfalls ein Ereignis protokolliert.
2: Deaktiviert die aktualisierte Überwachung und erzwingt die zusätzliche Sicherheit nicht. Nicht empfohlen.
Beispiel: Wenn in Ihrem Forest keine anderen dSHeuristics-Einstellungen aktiviert waren und Sie für die zusätzliche AuthZ-Prüfung in den Enforcement-Modus wechseln möchten, sollte das Attribut dSHeuristics auf Folgendes gesetzt werden:
„0000000001000000000200000001“
Die in diesem Fall festgelegten Zeichen sind:
das 10. Zeichen: Muss auf 1 gesetzt werden, wenn das Attribut dSHeuristics mindestens 10 Zeichen beträgt
das 20. Zeichen: Muss auf 2 gesetzt werden, wenn das Attribut dSHeuristics mindestens 20 Zeichen beträgt
das 28. Zeichen: Muss auf 1 gesetzt werden, um den Erzwingungsmodus für die zusätzliche AuthZ-Überprüfung zu aktivieren
Zeichen 29 – temporäres Entfernen des impliziten Besitzers für LDAP-Änderungsvorgänge
0: Der Modus „Standardmäßige Überwachung“ ist aktiviert. Ein Ereignis wird protokolliert, wenn Benutzer ohne Domänenadministratorrechte den securityDescriptor auf Werte setzen, die übermäßige Berechtigungen für vorhandene vom Computer abgeleitete AD-Objekte gewähren und möglicherweise eine zukünftige Ausnutzung ermöglichen.
1: Der Erzwingungsmodus ist aktiviert. Dies verhindert, dass Benutzer ohne Domänenadministratorrechte den securityDescriptor auf Werte festlegen, die übermäßige Berechtigungen für vorhandene vom Computer abgeleitete AD-Objekte gewähren könnten. In diesem Fall wird ebenfalls ein Ereignis protokolliert.
2:Deaktiviert die aktualisierte Überwachung und erzwingt die zusätzliche Sicherheit nicht. Nicht empfohlen.
Beispiel: Wenn in Ihrem Forest nur die dsHeuristics-Kennzeichnung „Zusätzliche AuthZ-Überprüfungen“ gesetzt war und Sie für die vorübergehende implizite Eigentümerentfernung in den Enforcement-Modus wechseln möchten, sollte das Attribut dSHeuristics auf Folgendes gesetzt werden:
"00000000010000000002000000011"
Die in diesem Fall festgelegten Zeichen sind:
das 10. Zeichen: Muss auf 1 gesetzt werden, wenn das Attribut dSHeuristics mindestens 10 Zeichen beträgt
das 20. Zeichen: Muss auf 2 gesetzt werden, wenn das Attribut dSHeuristics mindestens 20 Zeichen beträgt
das 28. Zeichen: Muss auf 1 gesetzt werden, um den Erzwingungsmodus für die zusätzliche AuthZ-Überprüfung zu aktivieren
das 29. Zeichen: Muss auf 1 gesetzt werden, um den Erzwingungsmodus für das vorübergehende Entfernen von Rechten impliziter Besitzer zu aktivieren
Neu hinzugefügte Ereignisse
Mit dem Windows-Update vom 9. November 2021 werden auch neue Ereignisprotokolle hinzugefügt.
Modusänderungsereignisse - Zusätzliche AuthZ-Überprüfung für LDAP-Add-Vorgänge
Ereignisse, die auftreten, wenn Bit 28 des Attributs dSHeuristics geändert wird, was den Modus der zusätzlichen AuthZ-Überprüfungen für den LDAP-Add-Vorgangs-Teil des Updates ändert.
|
Ereignisprotokoll |
Verzeichnisdienste |
|
Ereignistyp |
Information |
|
Ereigniskennung |
3050 |
|
Ereignistext |
Das Verzeichnis wurde so konfiguriert, dass die Berechtigung pro Attribut während LDAP-Add-Vorgängen erzwungen wird. Dies ist die sicherste Einstellung, und es sind keine weiteren Maßnahmen erforderlich. |
|
Ereignisprotokoll |
Verzeichnisdienste |
|
Ereignistyp |
Warnung |
|
Ereigniskennung |
3051 |
|
Ereignistext |
Das Verzeichnis wurde so konfiguriert, dass bei LDAP-Add-Vorgängen keine Berechtigungen für Attribute erzwungen werden. Warnungsereignisse werden protokolliert, aber es werden keine Anforderungen blockiert. Diese Einstellung ist nicht sicher und sollte nur als temporärer Schritt zur Problembehandlung verwendet werden. Bitte informieren Sie sich über die vorgeschlagenen Maßnahmen zur Entschärfung unter dem unten stehenden Link. |
|
Ereignisprotokoll |
Verzeichnisdienste |
|
Ereignistyp |
Fehler |
|
Ereigniskennung |
3052 |
|
Ereignistext |
Das Verzeichnis wurde so konfiguriert, dass bei LDAP-Add-Vorgängen keine Berechtigungen für Attribute erzwungen werden. Es werden keine Ereignisse protokolliert, und es werden keine Anforderungen blockiert. Diese Einstellung ist nicht sicher und sollte nur als temporärer Schritt zur Problembehandlung verwendet werden. Bitte informieren Sie sich über die vorgeschlagenen Maßnahmen zur Entschärfung unter dem unten stehenden Link. |
Modusänderungsereignisse – temporäres Entfernen der Rechte von impliziten Besitzern
Ereignisse, die auftreten, wenn Bit 29 des Attributs dSHeuristics geändert wird, was den Modus des Updates für das vorübergehende Entfernen von Rechten impliziter Besitzer ändert.
|
Ereignisprotokoll |
Verzeichnisdienste |
|
Ereignistyp |
Information |
|
Ereigniskennung |
3053 |
|
Ereignistext |
Das Verzeichnis wurde so konfiguriert, dass Rechte impliziter Besitzer beim anfänglichen Festlegen oder Ändern des Attributs nTSecurityDescriptor während LDAP-Add- und -Modifizierungsvorgängen blockiert werden. Dies ist die sicherste Einstellung, und es sind keine weiteren Maßnahmen erforderlich. |
|
Ereignisprotokoll |
Verzeichnisdienste |
|
Ereignistyp |
Warnung |
|
Ereigniskennung |
3054 |
|
Ereignistext |
Das Verzeichnis wurde so konfiguriert, dass Rechte impliziter Besitzer beim erstmaligen Setzen oder Ändern des nTSecurityDescriptor-Attributs während LDAP-Add- und Modifyvorgängen zugelassen werden. Warnungsereignisse werden protokolliert, aber es werden keine Anforderungen blockiert. Diese Einstellung ist nicht sicher und sollte nur als temporärer Schritt zur Problembehandlung verwendet werden. |
|
Ereignisprotokoll |
Verzeichnisdienste |
|
Ereignistyp |
Fehler |
|
Ereigniskennung |
3055 |
|
Ereignistext |
Das Verzeichnis wurde so konfiguriert, dass Rechte impliziter Besitzer beim erstmaligen Setzen oder Ändern des nTSecurityDescriptor-Attributs während LDAP-Add- und Modifyvorgängen zugelassen werden. Es werden keine Ereignisse protokolliert, und es werden keine Anforderungen blockiert. Diese Einstellung ist nicht sicher und sollte nur als temporärer Schritt zur Problembehandlung verwendet werden. |
Überwachungsmodusereignisse
Ereignisse, die im Überwachungsmodus auftreten, um potenzielle Sicherheitsprobleme mit einem LDAP-Add- und Modifyvorgängen zu protokollieren.
|
Ereignisprotokoll |
Verzeichnisdienste |
|
Ereignistyp |
Warnung |
|
Ereigniskennung |
3047 |
|
Ereignistext |
Der Verzeichnisdienst hat eine LDAP-Add-Anforderung für das folgende Objekt erkannt, die normalerweise aus folgenden Sicherheitsgründen blockiert worden wäre. Der Client verfügte basierend auf dem standardmäßigen zusammengeführten Sicherheitsdeskriptor nicht über die Berechtigung, ein oder mehrere Attribute zu schreiben, die in der Add-Anforderung enthalten sind. Die Anforderung konnte fortgesetzt werden, da das Verzeichnis derzeit für diese Sicherheitsüberprüfung nur im Überwachungsmodus konfiguriert ist. Objekt-DN: <DN-DN des erstellten Objekts> Objektklasse: <ObjectClass-Klasse des erstellten Objekts> Benutzer: <Benutzer, der LDAP-Add versucht> Client-IP-Adresse: <IP des Anforderers> Sicherheitsbeschreibung: <SD, das versucht wurde> |
|
Ereignisprotokoll |
Verzeichnisdienste |
|
Ereignistyp |
Warnung |
|
Ereigniskennung |
3048 |
|
Ereignistext |
Der Verzeichnisdienst hat eine LDAP-Add-Anforderung für das folgende Objekt erkannt, die normalerweise aus folgenden Sicherheitsgründen blockiert worden wäre. Der Client enthielt ein Attribut nTSecurityDescriptor in der Add-Anforderung, verfügte jedoch basierend auf dem standardmäßigen zusammengeführten Sicherheitsdeskriptor nicht über die explizite Berechtigung, einen oder mehrere Teile des neuen Sicherheitsdeskriptors zu schreiben. Die Anforderung konnte fortgesetzt werden, da das Verzeichnis derzeit für diese Sicherheitsüberprüfung nur im Überwachungsmodus konfiguriert ist. Objekt-DN: <DN-DN des erstellten Objekts> Objektklasse: <ObjectClass-Klasse des erstellten Objekts> Benutzer: <Benutzer, der LDAP-Add versucht> Client-IP-Adresse: <IP des Anforderers> |
|
Ereignisprotokoll |
Verzeichnisdienste |
|
Ereignistyp |
Warnung |
|
Ereigniskennung |
3049 |
|
Ereignistext |
Der Verzeichnisdienst hat eine LDAP- Modify-Anforderung für das folgende Objekt erkannt, die normalerweise aus folgenden Sicherheitsgründen blockiert worden wäre. Der Client enthielt ein Attribut nTSecurityDescriptor in der Add-Anforderung, verfügte jedoch basierend auf dem standardmäßigen zusammengeführten Sicherheitsdeskriptor nicht über die explizite Berechtigung, einen oder mehrere Teile des neuen Sicherheitsdeskriptors zu schreiben. Die Anforderung konnte fortgesetzt werden, da das Verzeichnis derzeit für diese Sicherheitsüberprüfung nur im Überwachungsmodus konfiguriert ist. Objekt-DN: <DN-DN des erstellten Objekts> Objektklasse: <ObjectClass-Klasse des erstellten Objekts> Benutzer: <Benutzer, der LDAP-Add versucht> Client-IP-Adresse: <IP des Anforderers> |
|
Ereignisprotokoll |
Verzeichnisdienste |
|
Ereignistyp |
Warnung |
|
Ereigniskennung |
3056 |
|
Ereignistext |
Der Verzeichnisdienst hat eine Abfrage nach dem Attribut „sdRightsEffective“ für das unten angegebene Objekt verarbeitet. Die zurückgegebene Zugriffsmaske enthielt WRITE_DAC, aber nur, weil das Verzeichnis so konfiguriert wurde, dass implizite Besitzerrechte zugelassen werden, was keine sichere Einstellung ist. Objekt-DN: <DN-DN des erstellten Objekts> Benutzer: <Benutzer, der LDAP-Add versucht> Client-IP-Adresse: <IP des Anforderers> |
Erzwingungsmodus – LDAP-Add-Fehler
Ereignisse, die auftreten, wenn ein LDAP-Add-Vorgang verweigert wird.
|
Ereignisprotokoll |
Verzeichnisdienste |
|
Ereignistyp |
Warnung |
|
Ereigniskennung |
3044 |
|
Ereignistext |
Der Verzeichnisdienst hat eine LDAP-Add-Anforderung für das folgende Objekt abgelehnt. Die Anforderung wurde abgelehnt, da der Client basierend auf dem standardmäßigen zusammengeführten Sicherheitsdeskriptor nicht über die Berechtigung verfügte, ein oder mehrere Attribute zu schreiben, die in der Add-Anforderung enthalten sind. Objekt-DN: <DN-DN des erstellten Objekts> Objektklasse: <ObjectClass-Klasse des erstellten Objekts> Benutzer: <Benutzer, der LDAP-Add versucht> Client-IP-Adresse: <IP des Anforderers> Sicherheitsbeschreibung: <SD, das versucht wurde> |
|
Ereignisprotokoll |
Verzeichnisdienste |
|
Ereignistyp |
Warnung |
|
Ereigniskennung |
3045 |
|
Ereignistext |
Der Verzeichnisdienst hat eine LDAP-Add-Anforderung für das folgende Objekt abgelehnt. Die Anforderung wurde abgelehnt, da der Client ein Attribut nTSecurityDescriptor in der Add-Anforderung enthielt, jedoch basierend auf dem standardmäßigen zusammengeführten Sicherheitsdeskriptor nicht über die explizite Berechtigung verfügte, einen oder mehrere Teile des neuen Sicherheitsdeskriptors zu schreiben. Objekt-DN: <DN-DN des erstellten Objekts> Objektklasse: <ObjectClass-Klasse des erstellten Objekts> Benutzer: <Benutzer, der LDAP-Add versucht> Client-IP-Adresse: <IP des Anforderers> |
Erzwingungsmodus – LDAP-Modify-Fehler
Ereignisse, die auftreten, wenn ein LDAP-Modifyvorgang verweigert wird.
|
Ereignisprotokoll |
Verzeichnisdienste |
|
Ereignistyp |
Warnung |
|
Ereigniskennung |
3046 |
|
Ereignistext |
Der Verzeichnisdienst hat eine LDAP-Modifyanforderung für das folgende Objekt abgelehnt. Die Anforderung wurde abgelehnt, da der Client ein Attribut nTSecurityDescriptor in der Änderungsanforderung enthielt, jedoch basierend auf dem vorhandenen Sicherheitsdeskriptor des Objekts nicht über die explizite Berechtigung verfügte, einen oder mehrere Teile des neuen Sicherheitsdeskriptors zu schreiben. Objekt-DN: <DN-DN des erstellten Objekts> Objektklasse: <ObjectClass-Klasse des erstellten Objekts> Benutzer: <Benutzer, der LDAP-Add versucht> Client-IP-Adresse: <IP des Anforderers> |
Häufig gestellte Fragen
F1 Was passiert, wenn ich eine Mischung aus Active Directory-Domänencontrollern habe, die aktualisiert und nicht aktualisiert sind?
A1 Die nicht aktualisierten DCs protokollieren keine Ereignisse im Zusammenhang mit dieser Sicherheitsanfälligkeit.
Q2 Was muss ich bei schreibgeschützten Domänencontrollern tun (Read-Only Domain Controllers, RODCs)?
A2 Nichts. LDAP-Add- und -Modify-Vorgänge können nicht auf RODCs zielen.
F3 Ich habe ein Produkt oder einen Prozess eines Drittanbieters, das/der nach der Aktivierung des Erzwingungsmodus fehlschlägt. Muss ich dem Dienst oder Benutzer Domänenadministratorrechte gewähren?
A3 Im Allgemeinen empfehlen wir nicht, als erste Lösung für dieses Problem einen Dienst oder Benutzer zur Gruppe der Domänenadministratoren hinzuzufügen. Überprüfen Sie die Ereignisprotokolle, um zu sehen, welche spezifische Berechtigung erforderlich ist, und erwägen Sie, dem Benutzer entsprechend beschränkte Rechte auf eine separate Organisationseinheit zu übertragen, die für diesen Zweck vorgesehen ist.
F4: Die Überwachungsereignisse werden auch für LDS-Server angezeigt. Warum geschieht dies?
A4:Alle oben genannten Punkte gelten auch für AD LDS, obwohl es sehr ungewöhnlich ist, Computerobjekte in LDS zu verwenden. Die Risikominderungsschritte sollten auch ausgeführt werden, um den Schutz für AD LDS zu aktivieren, wenn im Überwachungsmodus keine unerwarteten Berechtigungen erkannt werden.
