Actualizado el 20/03/2024: Referencias de LDS agregadas
Resumen
CVE-2021-42291 aborda una vulnerabilidad de evasión de seguridad que permite a determinados usuarios establecer valores arbitrarios en atributos sensibles desde el punto de vista de la seguridad de objetos específicos almacenados en Active Directory (AD) o Lightweight Directory Service (LDS). Para aprovechar esta vulnerabilidad, un usuario debe tener privilegios suficientes para crear una cuenta de equipo, como por ejemplo un usuario con permisos CreateChild para objetos de equipo. Ese usuario podría crear una cuenta de equipo mediante la llamada Agregar del protocolo ligero de acceso a directorios (LDAP) que permita un acceso excesivamente permisivo al atributo securityDescriptor. Además, los creadores y propietarios pueden modificar los atributos confidenciales de seguridad después de crear una cuenta. Esto se puede aprovechar para realizar una elevación de privilegios en determinados escenarios.
Nota LDS registrará los eventos 3050, 3053, 3051 y 3054 sobre el estado del acceso implícito a los objetos, igual que lo hace AD.
Las mitigaciones de CVE-2021-42291 consisten en:
-
Verificación de autorización adicional cuando los usuarios sin derechos de administrador de dominio o LDS intentan una operación Agregar de LDAP para un objeto derivado del equipo. Esto incluye un modo de Auditoría predeterminada, que audita cuando se producen dichos intentos sin interferir con la solicitud y un modo de cumplimiento que bloquea dichos intentos.
-
Eliminación temporal de los privilegios de propietario implícito cuando los usuarios sin derechos de administrador de dominio intentan una operación Modificar de LDAP en el atributo securityDescriptor. Se produce una comprobación para confirmar si el usuario podría escribir el descriptor de seguridad sin privilegios de propietario implícito. Esto también incluye un modo de Auditoría predeterminada, que audita cuando estos intentos se producen sin interferir con la solicitud y un modo de cumplimiento que bloquea dichos intentos.
Tomar medidas
Para proteger su entorno y evitar interrupciones, realice los pasos siguientes:
-
Actualiza todos los dispositivos que hospeden el rol de controlador de dominio de Active Directory o Servidor LDS. Para ello, instala las últimas actualizaciones de Windows. Los controladores de dominio que tengan las actualizaciones del 9 de noviembre de 2021 o posteriores tendrán los cambios en el modo auditoría de forma predeterminada.
-
Supervisa el registro de eventos del servicio de directorio o LDS para los eventos 3044-3056 en los controladores de dominio o servidores LDS que tengan las actualizaciones de Windows del 9 de noviembre de 2021 o posteriores. Los eventos registrados indican que un usuario podría tener privilegios excesivos para crear cuentas de equipo con atributos arbitrarios confidenciales de seguridad. Informe de cualquier situación inesperada a Microsoft utilizando caso de Soporte técnico unificado o Premier o el Centro de opiniones. (Puede encontrar un ejemplo de estos eventos en la sección Eventos recién agregados).
-
Si el modo de auditoría no detecta ningún privilegio inesperado durante un período de tiempo suficiente, cambie al modo de cumplimiento para asegurarse de que no se produzcan resultados negativos. Informe de cualquier situación inesperada a Microsoft utilizando caso de Soporte técnico unificado o Premier o el Centro de opiniones.
Calendario de las actualizaciones de Windows
Estas actualizaciones de Windows se publicarán en dos fases:
-
Implementación inicial: introducción de la actualización, incluidos los modos Auditoría predeterminada, Cumplimiento o Deshabilitar configurables utilizando el atributo dSHeuristics.
-
Implementación final – Cumplimiento de forma predeterminada.
9 de noviembre de 2021: Fase inicial de implementación
La fase de implementación inicial comienza con la actualización de Windows publicada el 9 de noviembre de 2021. Esta versión añade la auditoría de los permisos establecidos por los usuarios sin derechos de administrador de dominio durante la creación o modificación de un equipo o de objetos derivados del equipo. También añade un modo de cumplimiento y otro de deshabilitación. Puede establecer el modo globalmente para cada bosque de Active Directory con el atributo dSHeuristics.
(Actualizado el 15/12/2023) Fase de implementación final
La fase de implementación final puede comenzar una vez que haya completado los pasos enumerados en la sección Tomar medidas. Para pasar al modo de cumplimiento, siga las instrucciones de la sección Instrucciones de implementación para establecer los bits 28º y 29º en el atributo dSHeuristics . A continuación, supervise los eventos 3044-3046. Notifican cuando el modo de cumplimiento ha bloqueado una operación de agregar o modificar LDAP que anteriormente se podía haber permitido en el modo de auditoría.
Instrucciones de implementación
Establecer la información de configuración
Después de instalar CVE-2021-42291, los caracteres 28 y 29 del atributo dSHeuristics controlan el comportamiento de la actualización. El atributo dSHeuristics existe en cada bosque de Active Directory y contiene la configuración de todo el bosque. El atributo dSHeuristics es un atributo del objeto "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD) o "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS). Para obtener más información, vea 6.1.1.2.4.1.2 dSHeuristics y el atributo DS-Heuristics.
Carácter 28: comprobaciones adicionales de AuthZ para las operaciones Agregar de LDAP
0: El modo Auditoría predeterminada está habilitado. Se registra un evento cuando los usuarios sin derechos de administrador de dominio establecen el securityDescriptor u otros atributos a valores que podrían conceder permisos excesivos sobre nuevos objetos de AD derivados del equipo, lo que podría permitir la explotación futura.
1: El modo de cumplimiento está habilitado. Esto impide que los usuarios sin derechos de administrador de dominio establezcan el securityDescriptor u otros atributos a valores que puedan conceder permisos excesivos sobre objetos de AD derivados del equipo. También se registra un evento cuando esto ocurre.
2: Deshabilita la auditoría actualizada y no aplica la seguridad agregada. No recomendado.
Ejemplo: Si no tenía ninguna otra configuración de dSHeuristics habilitada en el bosque y desea cambiar al modo de cumplimiento para la verificación de AuthZ adicional, el atributo dSHeuristics debe establecerse en:
“0000000001000000000200000001”
Los caracteres que se establecen en este caso son:
10.º carácter: se debe establecer en 1 si el atributo dSHeuristics es de al menos 10 caracteres
20.º carácter: se debe establecer en 2 si el atributo dSHeuristics es de al menos 20 caracteres
28.º carácter: debe establecerse en 1 para habilitar el modo de cumplimiento para la verificación de AuthZ adicional
Carácter 29: eliminación temporal del propietario implícito para las operaciones de modificación de LDAP
0: El modo Auditoría predeterminada está habilitado. Se registra un evento cuando los usuarios sin derechos de administrador de dominio establecen el securityDescriptor a valores que podrían conceder permisos excesivos sobre objetos de AD existentes derivados del equipo, lo que podría permitir la explotación futura.
1: El modo de cumplimiento está habilitado. Esto impide que los usuarios sin derechos de administrador de dominio establezcan el securityDescriptor a valores que puedan conceder permisos excesivos sobre objetos de AD existentes derivados del equipo. También se registra un evento cuando esto ocurre.
2:Deshabilita la auditoría actualizada y no aplica la seguridad agregada. No recomendado.
Ejemplo: Si solo tenía la marca dsHeuristics de la verificación AuthZ adicional establecida en el bosque y desea cambiar al modo de cumplimiento para la eliminación temporal de la propiedad implícita, el atributo dSHeuristics debe establecerse en:
“00000000010000000002000000011”
Los caracteres que se establecen en este caso son:
10.º carácter: se debe establecer en 1 si el atributo dSHeuristics es de al menos 10 caracteres
20.º carácter: se debe establecer en 2 si el atributo dSHeuristics es de al menos 20 caracteres
28.º carácter: debe establecerse en 1 para habilitar el modo de aplicación para la verificación AuthZ adicional
29.º carácter: debe establecerse en 1 para habilitar el modo de aplicación para la eliminación temporal de la propiedad implícita
Eventos añadidos recientemente
La actualización de Windows del 9 de noviembre de 2021 también añadirá nuevos registros de eventos.
Eventos de cambio de modo: verificación AuthZ adicional para las operaciones Agregar de LDAP
Los eventos que se producen cuando se modifica el bit 28 del atributo dSHeuristics, que cambia el modo de las verificaciones de AuthZ adicionales para la parte de operaciones de Agregar de LDAP de la actualización.
|
Registro de eventos |
Servicios de directorio |
|
Tipos de eventos |
Informativo |
|
Id. del evento |
3050 |
|
Texto del evento |
El directorio se ha configurado para aplicar la autorización por atributo durante las operaciones de Agregar de LDAP. Esta es la configuración más segura y no se requiere ninguna otra acción. |
|
Registro de eventos |
Servicios de directorio |
|
Tipos de eventos |
Advertencia |
|
Id. del evento |
3051 |
|
Texto del evento |
El directorio se ha configurado para no aplicar la autorización por atributo durante las operaciones de Agregar de LDAP. Los eventos de advertencia se registrarán, pero no se bloquearán las solicitudes. Esta configuración no es segura y solo debe usarse como paso de solución de problemas temporal. Revise las mitigaciones sugeridas en el vínculo siguiente. |
|
Registro de eventos |
Servicios de directorio |
|
Tipos de eventos |
Error |
|
Id. del evento |
3052 |
|
Texto del evento |
El directorio se ha configurado para no aplicar la autorización por atributo durante las operaciones de Agregar de LDAP. Los eventos no se registrarán, y no se bloquearán las solicitudes. Esta configuración no es segura y solo debe usarse como paso de solución de problemas temporal. Revise las mitigaciones sugeridas en el vínculo siguiente. |
Eventos de cambio de modo: eliminación temporal de los derechos de propietario implícitos
Los eventos que se producen cuando se modifica el bit 29 del atributo dSHeuristics, que cambia el modo de la eliminación temporal de la parte de los derechos del propietario implícito de la actualización.
|
Registro de eventos |
Servicios de directorio |
|
Tipos de eventos |
Informativo |
|
Id. del evento |
3053 |
|
Texto del evento |
El directorio se ha configurado para bloquear los privilegios de propietario implícito al establecer o modificar inicialmente el atributo nTSecurityDescriptor durante las operaciones de Agregar y Modificar de LDAP. Esta es la configuración más segura y no se requiere ninguna otra acción. |
|
Registro de eventos |
Servicios de directorio |
|
Tipos de eventos |
Advertencia |
|
Id. del evento |
3054 |
|
Texto del evento |
El directorio se ha configurado para permitir los privilegios de propietario implícito al establecer o modificar inicialmente el atributo nTSecurityDescriptor durante las operaciones de Agregar y Modificar de LDAP. Los eventos de advertencia se registrarán, pero no se bloquearán las solicitudes. Esta configuración no es segura y solo debe usarse como paso de solución de problemas temporal. |
|
Registro de eventos |
Servicios de directorio |
|
Tipos de eventos |
Error |
|
Id. del evento |
3055 |
|
Texto del evento |
El directorio se ha configurado para permitir los privilegios de propietario implícito al establecer o modificar inicialmente el atributo nTSecurityDescriptor durante las operaciones de Agregar y Modificar de LDAP. Los eventos no se registrarán, y no se bloquearán las solicitudes. Esta configuración no es segura y solo debe usarse como paso de solución de problemas temporal. |
Eventos del modo auditoría
Eventos que se producen en el modo de auditoría para registrar posibles problemas de seguridad con una operación Agregar o Modificar de LDAP.
|
Registro de eventos |
Servicios de directorio |
|
Tipos de eventos |
Advertencia |
|
Id. del evento |
3047 |
|
Texto del evento |
El servicio de directorio detectó una solicitud de Agregar de LDAP para el siguiente objeto que normalmente se habría bloqueado por los siguientes motivos de seguridad. El cliente no tenía permiso para escribir uno o más atributos incluidos en la solicitud de Agregar, según el descriptor de seguridad combinado predeterminado. Se permitió que la solicitud continuara porque el directorio está actualmente configurado para estar en modo de solo auditoría para esta comprobación de seguridad. DN de objeto: <created object’s DN> Clase de objeto: <created object’s objectClass> Usuario: <usuario que intentó la adición LDAP> Dirección IP del cliente: <the IP of the requestor> Descriptor de seguridad: <the SD that was attempted> |
|
Registro de eventos |
Servicios de directorio |
|
Tipos de eventos |
Advertencia |
|
Id. del evento |
3048 |
|
Texto del evento |
El servicio de directorio detectó una solicitud de Agregar de LDAP para el siguiente objeto que normalmente se habría bloqueado por los siguientes motivos de seguridad. El cliente incluyó un atributo nTSecurityDescriptor en la solicitud de Agregar, pero no tenía permiso explícito para escribir una o más partes del nuevo descriptor de seguridad, según el descriptor de seguridad combinado predeterminado. Se permitió que la solicitud continuara porque el directorio está actualmente configurado para estar en modo de solo auditoría para esta comprobación de seguridad. DN de objeto: <created object’s DN> Clase de objeto: <created object’s objectClass> Usuario: <usuario que intentó la adición LDAP> Dirección IP del cliente: <the IP of the requestor> |
|
Registro de eventos |
Servicios de directorio |
|
Tipos de eventos |
Advertencia |
|
Id. del evento |
3049 |
|
Texto del evento |
El servicio de directorio detectó una solicitud de Modificar de LDAP para el siguiente objeto que normalmente se habría bloqueado por los siguientes motivos de seguridad. El cliente incluyó un atributo nTSecurityDescriptor en la solicitud de Agregar, pero no tenía permiso explícito para escribir una o más partes del nuevo descriptor de seguridad, según el descriptor de seguridad combinado predeterminado. Se permitió que la solicitud continuara porque el directorio está actualmente configurado para estar en modo de solo auditoría para esta comprobación de seguridad. DN de objeto: <created object’s DN> Clase de objeto: <created object’s objectClass> Usuario: <usuario que intentó la adición LDAP> Dirección IP del cliente: <the IP of the requestor> |
|
Registro de eventos |
Servicios de directorio |
|
Tipos de eventos |
Advertencia |
|
Id. del evento |
3056 |
|
Texto del evento |
El servicio de directorio procesó una consulta para el atributo sdRightsEffective en el objeto especificado a continuación. La máscara de acceso devuelta incluía WRITE_DAC, pero solo porque el directorio se configuró para permitir privilegios de propietario implícito, lo cual no es una configuración segura. DN de objeto: <created object’s DN> Usuario: <usuario que intentó la adición LDAP> Dirección IP del cliente: <the IP of the requestor> |
Modo de cumplimiento: errores de Agregar de LDAP
Eventos que se producen cuando se deniega una operación Agregar de LDAP.
|
Registro de eventos |
Servicios de directorio |
|
Tipos de eventos |
Advertencia |
|
Id. del evento |
3044 |
|
Texto del evento |
El servicio de directorio denegó una solicitud de Agregar de LDAP para el siguiente objeto. La solicitud se denegó porque el cliente no tenía permiso para escribir uno o varios atributos incluidos en la solicitud de Agregar, según el descriptor de seguridad combinado predeterminado. DN de objeto: <created object’s DN> Clase de objeto: <created object’s objectClass> Usuario: <usuario que intentó la adición LDAP> Dirección IP del cliente: <the IP of the requestor> Descriptor de seguridad: <the SD that was attempted> |
|
Registro de eventos |
Servicios de directorio |
|
Tipos de eventos |
Advertencia |
|
Id. del evento |
3045 |
|
Texto del evento |
El servicio de directorio denegó una solicitud de Agregar de LDAP para el siguiente objeto. La solicitud se denegó porque el cliente incluyó un atributo nTSecurityDescriptor en la solicitud de Agregar, pero no tenía permiso explícito para escribir una o más partes del nuevo descriptor de seguridad, según el descriptor de seguridad combinado predeterminado. DN de objeto: <created object’s DN> Clase de objeto: <created object’s objectClass> Usuario: <usuario que intentó la adición LDAP> Dirección IP del cliente: <the IP of the requestor> |
Modo de cumplimiento: errores de Modificar de LDAP
Eventos que se producen cuando se deniega una operación Modificar de LDAP.
|
Registro de eventos |
Servicios de directorio |
|
Tipos de eventos |
Advertencia |
|
Id. del evento |
3046 |
|
Texto del evento |
El servicio de directorio denegó una solicitud de Modificar de LDAP para el siguiente objeto. La solicitud se denegó porque el cliente incluyó un atributo nTSecurityDescriptor en la solicitud de Modificar, pero no tenía permiso explícito para escribir una o más partes del nuevo descriptor de seguridad, según el descriptor de seguridad existente del objeto. DN de objeto: <created object’s DN> Clase de objeto: <created object’s objectClass> Usuario: <usuario que intentó la adición LDAP> Dirección IP del cliente: <the IP of the requestor> |
Preguntas más frecuentes
P1 ¿Qué sucede si tengo una mezcla de controladores de dominio de Active Directory actualizados y no actualizados?
R1 Los DC que no se actualizan no registrarán eventos relacionados con esta vulnerabilidad.
P2 ¿Qué tengo que hacer para los controladores de dominio de solo lectura (RODC)?
R2 Nada; las operaciones Agregar y Modificar de LDAP no pueden dirigirse a los RODC.
P3 Tengo un producto o proceso de terceros que falla después de habilitar el modo de cumplimiento. ¿Necesito conceder derechos de administrador de dominio de usuario o servicio?
R3 Por lo general, no se recomienda agregar un servicio o usuario al grupo de Administradores de dominio como la primera solución a este problema. Examine los registros de eventos para ver qué permisos específicos son necesarios y considere la posibilidad de delegar derechos debidamente limitados para ese usuario en una unidad organizativa independiente designada para ese fin.
P4 Veo los eventos de auditoría también para los servidores LDS. ¿Por qué ocurre esto?
R4:Todo lo anterior también se aplica a AD LDS, aunque es muy inusual tener objetos de equipo en LDS. Los pasos de mitigación también deben tomarse para habilitar la protección de AD LDS cuando el modo auditoría no detecta ningún privilegio inesperado.
