Applies ToWindows Server 2022 Windows Server 2019 Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Service Pack 2

Actualizado 08/07/2022

Resumen

CVE-2021-42291 aborda una vulnerabilidad de omisión de seguridad que permite a determinados usuarios establecer valores arbitrarios en atributos confidenciales de seguridad de objetos específicos almacenados en Active Directory (AD). Para aprovechar esta vulnerabilidad, un usuario debe tener privilegios suficientes para crear una cuenta de equipo, como por ejemplo un usuario con permisos CreateChild para objetos de equipo. Ese usuario podría crear una cuenta de equipo mediante la llamada Agregar del protocolo ligero de acceso a directorios (LDAP) que permita un acceso excesivamente permisivo al atributo securityDescriptor. Además, los creadores y propietarios pueden modificar los atributos confidenciales de seguridad después de crear una cuenta.

Las mitigaciones de CVE-2021-42291 consisten en:

  1. Verificación de autorización adicional cuando los usuarios sin derechos de administrador de dominio intentan una operación Agregar de LDAP para un objeto derivado del equipo. Esto incluye un modo de Auditoría predeterminada, que audita cuando se producen dichos intentos sin interferir con la solicitud y un modo de cumplimiento que bloquea dichos intentos.

  2. Eliminación temporal de los privilegios de propietario implícito cuando los usuarios sin derechos de administrador de dominio intentan una operación Modificar de LDAP en el atributo securityDescriptor. Se produce una comprobación para confirmar si el usuario podría escribir el descriptor de seguridad sin privilegios de propietario implícito. Esto también incluye un modo de Auditoría predeterminada, que audita cuando estos intentos se producen sin interferir con la solicitud y un modo de cumplimiento que bloquea dichos intentos.

Tomar medidas

Para proteger su entorno y evitar interrupciones, realice los pasos siguientes:

  1. Actualice todos los dispositivos que albergan el rol de controlador de dominio de Active Directory. Para ello, instale la actualización del 9 de noviembre de 2021. De forma predeterminada, se implementarán los cambios en el modo auditoría.

  2. Supervise el registro de eventos del servicio de directorio para los eventos 3044-3056 en los controladores de dominio que tengan las actualizaciones de Windows del 9 de noviembre de 2021 o posteriores publicadas antes del modo de cumplimiento mediante programación. Los eventos registrados indican que un usuario podría tener privilegios excesivos para crear cuentas de equipo con atributos arbitrarios confidenciales de seguridad. Informe de cualquier situación inesperada a Microsoft utilizando caso de Soporte técnico unificado o Premier o el Centro de opiniones. (Puede encontrar un ejemplo de estos eventos en la sección Eventos recién agregados).

  3. Si el modo de auditoría no detecta ningún privilegio inesperado durante un período de tiempo suficiente, cambie al modo de cumplimiento para asegurarse de que no se produzcan resultados negativos. Informe de cualquier situación inesperada a Microsoft utilizando caso de Soporte técnico unificado o Premier o el Centro de opiniones.

                    Importante El modo de cumplimiento estará activado de forma predeterminada en una actualización próxima al menos hasta el 11 de abril de 2023.

Calendario de las actualizaciones de Windows

Estas actualizaciones de Windows se publicarán en dos fases:

  1. Implementación inicial: introducción de la actualización, incluidos los modos Auditoría predeterminada, Cumplimiento o Deshabilitar configurables utilizando el atributo dSHeuristics.

  2. Implementación final: modo de cumplimiento de forma predeterminada.

                    Importante El modo de cumplimiento estará activado de forma predeterminada en una actualización próxima al menos hasta el 11 de abril de 2023.

9 de noviembre de 2021: Fase inicial de implementación

La fase de implementación inicial comienza con la actualización de Windows publicada el 9 de noviembre de 2021. Esta versión añade la auditoría de los permisos establecidos por los usuarios sin derechos de administrador de dominio durante la creación o modificación de un equipo o de objetos derivados del equipo. También añade un modo de cumplimiento y otro de deshabilitación. Puede establecer el modo globalmente para cada bosque de Active Directory con el atributo dSHeuristics.

(Actualizado el 8/7/22) 11 de abril de 2023: fase de implementación final

La fase de implementación final comienza con una actualización de Windows publicada a partir del 11 de abril de 2023 (por determinar). Esta fase cambiará el valor predeterminado al modo de cumplimiento.

Importante: El modo Deshabilitar no se admite después del 11 de abril de 2023.

Nota Esta actualización presupone que todos los controladores de dominio están actualizados con la actualización del 9 de noviembre de 2021 o posterior.

Instrucciones de implementación

Establecer la información de configuración

Después de instalar CVE-2021-42291, los caracteres 28 y 29 del atributo dSHeuristics controlan el comportamiento de la actualización. El atributo dSHeuristics existe en cada bosque de Active Directory y contiene la configuración de todo el bosque. El atributo dSHeuristics es un atributo del objeto "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>". Para obtener más información, vea 6.1.1.2.4.1.2 dSHeuristics y el atributo DS-Heuristics.

Carácter 28: comprobaciones adicionales de AuthZ para las operaciones Agregar de LDAP

0: El modo Auditoría predeterminada está habilitado. Se registra un evento cuando los usuarios sin derechos de administrador de dominio establecen el securityDescriptor u otros atributos a valores que podrían conceder permisos excesivos sobre nuevos objetos de AD derivados del equipo, lo que podría permitir la explotación futura.

1: El modo de cumplimiento está habilitado. Esto impide que los usuarios sin derechos de administrador de dominio establezcan el securityDescriptor u otros atributos a valores que puedan conceder permisos excesivos sobre objetos de AD derivados del equipo. También se registra un evento cuando esto ocurre.

2:   Deshabilita la auditoría actualizada y no aplica la seguridad agregada. No recomendado.

Ejemplo: Si no tenía ninguna otra configuración de dSHeuristics habilitada en el bosque y desea cambiar al modo de cumplimiento para la verificación de AuthZ adicional, el atributo dSHeuristics debe establecerse en:

“0000000001000000000200000001” Los caracteres que se establecen en este caso son:10.º carácter: se debe establecer en 1 si el atributo dSHeuristics es de al menos 10 caracteres20.º carácter: se debe establecer en 2 si el atributo dSHeuristics es de al menos 20 caracteres28.º carácter: debe establecerse en 1 para habilitar el modo de cumplimiento para la verificación de AuthZ adicional

Carácter 29: eliminación temporal del propietario implícito para las operaciones de modificación de LDAP

0: El modo Auditoría predeterminada está habilitado. Se registra un evento cuando los usuarios sin derechos de administrador de dominio establecen el securityDescriptor a valores que podrían conceder permisos excesivos sobre objetos de AD existentes derivados del equipo, lo que podría permitir la explotación futura.

1: El modo de cumplimiento está habilitado. Esto impide que los usuarios sin derechos de administrador de dominio establezcan el securityDescriptor a valores que puedan conceder permisos excesivos sobre objetos de AD existentes derivados del equipo. También se registra un evento cuando esto ocurre.

2:Deshabilita la auditoría actualizada y no aplica la seguridad agregada. No recomendado.

Ejemplo: Si solo tenía la marca dsHeuristics de la verificación AuthZ adicional establecida en el bosque y desea cambiar al modo de cumplimiento para la eliminación temporal de la propiedad implícita, el atributo dSHeuristics debe establecerse en:

“00000000010000000002000000011” Los caracteres que se establecen en este caso son:10.º carácter: se debe establecer en 1 si el atributo dSHeuristics es de al menos 10 caracteres20.º carácter: se debe establecer en 2 si el atributo dSHeuristics es de al menos 20 caracteres28.º carácter: debe establecerse en 1 para habilitar el modo de aplicación para la verificación AuthZ adicional29.º carácter: debe establecerse en 1 para habilitar el modo de aplicación para la eliminación temporal de la propiedad implícita

Eventos añadidos recientemente

La actualización de Windows del 9 de noviembre de 2021 también añadirá nuevos registros de eventos.

Eventos de cambio de modo: verificación AuthZ adicional para las operaciones Agregar de LDAP

Los eventos que se producen cuando se modifica el bit 28 del atributo dSHeuristics, que cambia el modo de las verificaciones de AuthZ adicionales para la parte de operaciones de Agregar de LDAP de la actualización.

Registro de eventos

Servicios de directorio

Tipos de eventos

Informativo

Id. del evento

3050

Texto del evento

El directorio se ha configurado para aplicar la autorización por atributo durante las operaciones de Agregar de LDAP.

Esta es la configuración más segura y no se requiere ninguna otra acción.

Registro de eventos

Servicios de directorio

Tipos de eventos

Advertencia

Id. del evento

3051

Texto del evento

El directorio se ha configurado para no aplicar la autorización por atributo durante las operaciones de Agregar de LDAP. Los eventos de advertencia se registrarán, pero no se bloquearán las solicitudes.

Esta configuración no es segura y solo debe usarse como paso de solución de problemas temporal. Revise las mitigaciones sugeridas en el vínculo siguiente.

Registro de eventos

Servicios de directorio

Tipos de eventos

error

Id. del evento

3052

Texto del evento

El directorio se ha configurado para no aplicar la autorización por atributo durante las operaciones de Agregar de LDAP. Los eventos no se registrarán, y no se bloquearán las solicitudes.

Esta configuración no es segura y solo debe usarse como paso de solución de problemas temporal. Revise las mitigaciones sugeridas en el vínculo siguiente.

Eventos de cambio de modo: eliminación temporal de los derechos de propietario implícitos

Los eventos que se producen cuando se modifica el bit 29 del atributo dSHeuristics, que cambia el modo de la eliminación temporal de la parte de los derechos del propietario implícito de la actualización.

Registro de eventos

Servicios de directorio

Tipos de eventos

Informativo

Id. del evento

3053

Texto del evento

El directorio se ha configurado para bloquear los privilegios de propietario implícito al establecer o modificar inicialmente el atributo nTSecurityDescriptor durante las operaciones de Agregar y Modificar de LDAP.

Esta es la configuración más segura y no se requiere ninguna otra acción.

Registro de eventos

Servicios de directorio

Tipos de eventos

Advertencia

Id. del evento

3054

Texto del evento

El directorio se ha configurado para permitir los privilegios de propietario implícito al establecer o modificar inicialmente el atributo nTSecurityDescriptor durante las operaciones de Agregar y Modificar de LDAP. Los eventos de advertencia se registrarán, pero no se bloquearán las solicitudes.

Esta configuración no es segura y solo debe usarse como paso de solución de problemas temporal. 

Registro de eventos

Servicios de directorio

Tipos de eventos

error

Id. del evento

3055

Texto del evento

El directorio se ha configurado para permitir los privilegios de propietario implícito al establecer o modificar inicialmente el atributo nTSecurityDescriptor durante las operaciones de Agregar y Modificar de LDAP. Los eventos no se registrarán, y no se bloquearán las solicitudes.

Esta configuración no es segura y solo debe usarse como paso de solución de problemas temporal. 

Eventos del modo auditoría

Eventos que se producen en el modo de auditoría para registrar posibles problemas de seguridad con una operación Agregar o Modificar de LDAP.

Registro de eventos

Servicios de directorio

Tipos de eventos

Advertencia

Id. del evento

3047

Texto del evento

El servicio de directorio detectó una solicitud de Agregar de LDAP para el siguiente objeto que normalmente se habría bloqueado por los siguientes motivos de seguridad.

El cliente no tenía permiso para escribir uno o más atributos incluidos en la solicitud de Agregar, según el descriptor de seguridad combinado predeterminado.

Se permitió que la solicitud continuara porque el directorio está actualmente configurado para estar en modo de solo auditoría para esta comprobación de seguridad.

DN de objeto: <created object’s DN>

Clase de objeto: <created object’s objectClass>

Usuario: <usuario que intentó la adición de LDAP>

Dirección IP del cliente: <the IP of the requestor>

Descriptor de seguridad: <the SD that was attempted>

Registro de eventos

Servicios de directorio

Tipos de eventos

Advertencia

Id. del evento

3048

Texto del evento

El servicio de directorio detectó una solicitud de Agregar de LDAP para el siguiente objeto que normalmente se habría bloqueado por los siguientes motivos de seguridad.

El cliente incluyó un atributo nTSecurityDescriptor en la solicitud de Agregar, pero no tenía permiso explícito para escribir una o más partes del nuevo descriptor de seguridad, según el descriptor de seguridad combinado predeterminado.

Se permitió que la solicitud continuara porque el directorio está actualmente configurado para estar en modo de solo auditoría para esta comprobación de seguridad.

DN de objeto: <created object’s DN>

Clase de objeto: <created object’s objectClass>

Usuario: <usuario que intentó la adición de LDAP>

Dirección IP del cliente: <the IP of the requestor>

Registro de eventos

Servicios de directorio

Tipos de eventos

Advertencia

Id. del evento

3049

Texto del evento

El servicio de directorio detectó una solicitud de Modificar de LDAP para el siguiente objeto que normalmente se habría bloqueado por los siguientes motivos de seguridad.

El cliente incluyó un atributo nTSecurityDescriptor en la solicitud de Agregar, pero no tenía permiso explícito para escribir una o más partes del nuevo descriptor de seguridad, según el descriptor de seguridad combinado predeterminado.

Se permitió que la solicitud continuara porque el directorio está actualmente configurado para estar en modo de solo auditoría para esta comprobación de seguridad.

DN de objeto: <created object’s DN>

Clase de objeto: <created object’s objectClass>

Usuario: <usuario que intentó la adición de LDAP>

Dirección IP del cliente: <the IP of the requestor>

Registro de eventos

Servicios de directorio

Tipos de eventos

Advertencia

Id. del evento

3056

Texto del evento

El servicio de directorio procesó una consulta para el atributo sdRightsEffective en el objeto especificado a continuación. La máscara de acceso devuelta incluía WRITE_DAC, pero solo porque el directorio se configuró para permitir privilegios de propietario implícito, lo cual no es una configuración segura.

DN de objeto: <created object’s DN>

Usuario: <usuario que intentó la adición de LDAP>

Dirección IP del cliente: <the IP of the requestor>

Modo de cumplimiento: errores de Agregar de LDAP

Eventos que se producen cuando se deniega una operación Agregar de LDAP.

Registro de eventos

Servicios de directorio

Tipos de eventos

Advertencia

Id. del evento

3044

Texto del evento

El servicio de directorio denegó una solicitud de Agregar de LDAP para el siguiente objeto. La solicitud se denegó porque el cliente no tenía permiso para escribir uno o varios atributos incluidos en la solicitud de Agregar, según el descriptor de seguridad combinado predeterminado.

DN de objeto: <created object’s DN>

Clase de objeto: <created object’s objectClass>

Usuario: <usuario que intentó la adición de LDAP>

Dirección IP del cliente: <the IP of the requestor>

Descriptor de seguridad: <the SD that was attempted>

Registro de eventos

Servicios de directorio

Tipos de eventos

Advertencia

Id. del evento

3045

Texto del evento

El servicio de directorio denegó una solicitud de Agregar de LDAP para el siguiente objeto. La solicitud se denegó porque el cliente incluyó un atributo nTSecurityDescriptor en la solicitud de Agregar, pero no tenía permiso explícito para escribir una o más partes del nuevo descriptor de seguridad, según el descriptor de seguridad combinado predeterminado.

DN de objeto: <created object’s DN>

Clase de objeto: <created object’s objectClass>

Usuario: <usuario que intentó la adición de LDAP>

Dirección IP del cliente: <the IP of the requestor>

Modo de cumplimiento: errores de Modificar de LDAP

Eventos que se producen cuando se deniega una operación Modificar de LDAP.

Registro de eventos

Servicios de directorio

Tipos de eventos

Advertencia

Id. del evento

3046

Texto del evento

El servicio de directorio denegó una solicitud de Modificar de LDAP para el siguiente objeto. La solicitud se denegó porque el cliente incluyó un atributo nTSecurityDescriptor en la solicitud de Modificar, pero no tenía permiso explícito para escribir una o más partes del nuevo descriptor de seguridad, según el descriptor de seguridad existente del objeto.

DN de objeto: <created object’s DN>

Clase de objeto: <created object’s objectClass>

Usuario: <usuario que intentó la adición de LDAP>

Dirección IP del cliente: <the IP of the requestor>

Preguntas más frecuentes

P1 ¿Qué sucede si tengo una mezcla de controladores de dominio de Active Directory actualizados y no actualizados?

R1 Los DC que no se actualizan no registrarán eventos relacionados con esta vulnerabilidad.

P2 ¿Qué tengo que hacer para los controladores de dominio de solo lectura (RODC)?

R2 Nada; las operaciones Agregar y Modificar de LDAP no pueden dirigirse a los RODC.

P3 Tengo un producto o proceso de terceros que falla después de habilitar el modo de cumplimiento. ¿Necesito conceder derechos de administrador de dominio de usuario o servicio?

R3 Por lo general, no se recomienda agregar un servicio o usuario al grupo de Administradores de dominio como la primera solución a este problema. Examine los registros de eventos para ver qué permisos específicos son necesarios y considere la posibilidad de delegar derechos debidamente limitados para ese usuario en una unidad organizativa independiente designada para ese fin.

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.