Σύνοψη
Η Microsoft κυκλοφόρησε μια ενημέρωση των Windows για την αντιμετώπιση μιας ευπάθειας επίθεσης επανάληψης διακριτικού στο Υπηρεσίες Active Directory Federation Services (AD FS), όπως περιγράφεται στο CVE-2023-35348. Αυτή η ενημέρωση εγκαθίσταται από ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 11 Ιουλίου 2023. Από προεπιλογή, αυτή η ενημέρωση είναι εγκατεστημένη απενεργοποιημένη. Για να ενεργοποιήσετε την ενημέρωση, πρέπει να ρυθμίσετε τις παραμέτρους της ρύθμισης EnforceNonceInJWT .
Περισσότερες πληροφορίες
Αυτή η ενημέρωση παρουσιάζει μια νέα ρύθμιση που επιτρέπει την επικύρωση του Nonce από τον ισχυρισμό του JSON Web Token (JWT) κατά τη διάρκεια του ελέγχου ταυτότητας χρήστη JWT.
Αυτό το άρθρο περιγράφει τον τρόπο ενεργοποίησης της ρύθμισης και παρέχει λεπτομέρειες συμβάντων που συνδέονται σε διακομιστές AD FS για τις υποστηριζόμενες τιμές της ρύθμισης.
Ρύθμιση EnforceNonceInJWT
Οι παράμετροι του EnforceNonceInJWT μπορούν να ρυθμιστούν από ένα διαχειριστή σε ένα διακομιστή ADFS για εκτέλεση σε μία από τις παρακάτω λειτουργίες:
-
Καμία (Προεπιλεγμένη τιμή): Χρησιμοποιείται για την παρακολούθηση της αλλαγής της τιμής ρύθμισης EnforceNonceInJWT . Αυτή η τιμή δεν μπορεί να οριστεί από διαχειριστή. ADFS server validates the nonce only when it is present in the JWT assertion but does not enforce the presence of it.
-
Απενεργοποιημένη: Αυτή η τιμή μπορεί να οριστεί για να απενεργοποιήσετε την επιδιόρθωση, εάν υπάρχουν προβλήματα με την προεπιλεγμένη τιμή ή τη δημοσίευση που την ενεργοποιεί.
-
Ενεργοποιημένη: Ενεργοποιεί τη ρύθμιση EnforceNonceInJWT . Ο διακομιστής ADFS επιβάλλει ότι ο Nonce υπάρχει στον ισχυρισμό της JWT και είναι επίσης έγκυρος όταν πληρούνται ορισμένες προϋποθέσεις.
Οι λειτουργίες EnforceNonceInJWT ενδέχεται να τροποποιηθούν από ένα διαχειριστή σε ένα διακομιστή AD FS χρησιμοποιώντας τις ακόλουθες εντολές του PowerShell:
-
Ενεργοποίηση Του EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Enabled -
Απενεργοποίηση Του EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Disabled -
Ελέγξτε την κατάσταση της ρύθμισης EnforceNonceInJWT:
Ένας διαχειριστής μπορεί να εκτελέσει το Get-AdfsProperties για να ελέγξει την τρέχουσα ρύθμιση EnforceNonceInJWT . Η τιμή EnforceNonceInJWT που επιστρέφεται θα συμφωνεί με τη ρυθμισμένη κατάσταση λειτουργίας.
Συμβάντα που καταγράφηκαν
Τα ακόλουθα συμβάντα ενδέχεται να καταγραφούν σε έναν διακομιστή AD FS μετά την εγκατάσταση των ενημερώσεων των Windows που κυκλοφόρησαν στις ή μετά τις 11 Ιουλίου 2023:
Σημείωση Το συμβάν 187 καταγράφεται κάθε φορά που ο διακομιστής AD FS λαμβάνει ένα αίτημα που δεν περιέχει την ένδειξη Nonce στη διεκδίκηση JWT και η EnforceNonceInJWT έχει οριστεί σε Καμία ή Απενεργοποιημένη.
Πηγή: AD FS
Επίπεδο: Προειδοποίηση
Αναγνωριστικό: 187
Μήνυμα: AD FS server received a JWT token without nonce in the assertion and it was accepted based on the current configuration setting of EnforceNonceInJWT. Ωστόσο, υποδηλώνει μια πιθανή επανάληψη του διακριτικού JWT από ένα κακόβουλο πρόγραμμα-πελάτη ή την πιθανότητα να μην γίνει ενημέρωση κώδικα του προγράμματος-πελάτη με τις πιο πρόσφατες Ενημερώσεις των Windows. Φροντίστε να ενημερώσετε τη ρύθμιση EnforceNonceInJWT για να απορρίψετε όλα αυτά τα διακριτικά JWT μετά την ενημέρωση των πελατών με τις πιο πρόσφατες Ενημερώσεις των Windows. Για περισσότερες πληροφορίες σχετικά με αυτό, ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2238156.
Σημείωση Το συμβάν 188 καταγράφεται με κάθε υπηρεσία AD FS να ξεκινά όταν το EnforceNonceInJWT έχει οριστεί σε "Κανένα" ή "Απενεργοποιημένο".
Πηγή: AD FS
Επίπεδο: Σφάλμα
Αναγνωριστικό: 188
Μήνυμα: Ο διακομιστής AD FS δεν έχει ρυθμιστεί ώστε να απορρίπτει τα διακριτικά JWT που δεν είχαν καμία ένδειξη στον ισχυρισμό. Η αντίστοιχη ρύθμιση (EnforceNonceInJWT) θα πρέπει να ενεργοποιηθεί για λόγους ασφαλείας αφού βεβαιωθείτε ότι όλα τα προγράμματα-πελάτες έχουν εφαρμοστεί με την πιο πρόσφατη Ενημερώσεις των Windows. Το συμβάν 187 υποδεικνύει τις περιπτώσεις όπου οι AD FS έλαβαν τέτοια διακριτικά και έγιναν αποδεκτά λόγω της τρέχουσας ρύθμισης του EnforceNonceInJWT. Για περισσότερες πληροφορίες σχετικά με αυτό, ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2238156.
Ανάληψη δράσης
Εγκαταστήστε ενημερώσεις των Windows που κυκλοφόρησαν στις ή μετά τις 11 Ιουλίου 2023 σε όλους τους διακομιστές AD FS της συστοιχίας. Στη συνέχεια, ενεργοποιήστε τη ρύθμιση εκτελώντας την ακόλουθη εντολή PowerShell στον κύριο διακομιστή AD FS της συστοιχίας:
Set-AdfsProperties -Ενεργοποίηση Του EnforceNonceInJWT
Σημαντικό Ενδέχεται να δείτε αποτυχίες ελέγχου ταυτότητας σε ορισμένα σενάρια, όταν υπάρχουν προγράμματα-πελάτες που δεν ενημερώνονται και αποστέλλονται αιτήσεις ελέγχου ταυτότητας JWT στο διακομιστή AD FS. Σε αυτές τις περιπτώσεις, συνιστάται να ενημερώσετε όλους τους υπολογιστές-πελάτες εγκαθιστώντας την ενημέρωση των Windows που κυκλοφόρησε στις ή μετά τις 11 Ιουλίου 2023. Εναλλακτικά, ένας διαχειριστής μπορεί να απενεργοποιήσει τη ρύθμιση EnforceNonceInJWT και να παρακολουθήσει τους διακομιστές AD FS για την καταγραφή του Συμβάντος 187, για να εντοπίσει πιθανές αιτήσεις που θα μπορούσαν να απορριφθούν όταν η enforceNonceInJWT έχει οριστεί σε Enabled. Αφού επιβεβαιώσετε την απουσία του Συμβάντος 187 στους διακομιστές AD FS για ένα καθορισμένο χρονικό διάστημα, η ρύθμιση EnforceNonceInJWT πρέπει να ενημερωθεί σε Enabled.
