Resumen
Las actualizaciones de Windows del 11 de enero de 2022 y las posteriores añaden protecciones para CVE-2022-21913.
Después de instalar las actualizaciones de Windows del 11 de enero de 2022 o posteriores, el Estándar de cifrado avanzado (AES) se establecerá como el método de cifrado preferido en los clientes Windows cuando utilice el protocolo de Autoridad de seguridad local heredado (Directiva de dominio) (MS-LSAD) para operaciones de contraseñas de objetos de dominio de confianza que se envían a través de una red. Esto es cierto solo si el servidor admite el cifrado AES. Si el servidor no admite el cifrado AES, el sistema permitirá usar el cifrado RC4 heredado de reserva.
Los cambios en CVE-2022-21913 son específicos del protocolo MS-LSAD. Son independientes de otros protocolos. MS-LSAD utiliza el Bloque de mensajes del servidor (SMB) sobre la llamada de procedimiento remoto
(RPC) y canalizaciones con nombre. Aunque SMB también admite el cifrado, no está habilitado de forma predeterminada. Por defecto, los cambios en CVE-2022-21913 están habilitados y proporcionan seguridad adicional en la capa LSAD. No se requieren cambios de configuración adicionales más allá de instalar las protecciones para CVE-2022-21913 que se incluyen en las actualizaciones de Windows del 11 de enero de 2022 y posteriores en todas las versiones compatibles de Windows. Las versiones de Windows sin soporte deben retirarse o actualizarse a una versión con soporte.
NotaCVE-2022-21913 modifica solo cómo se cifran las contraseñas de confianza en tránsito cuando utiliza API específicas del protocolo MS-LSAD y específicamente no modifica cómo se almacenan las contraseñas en reposo. Para obtener más información sobre cómo se cifran las contraseñas en reposo en Active Directory y localmente en la base de datos SAM (registro), consulte Información general técnica de contraseñas.
Más información
Cambios realizados por las actualizaciones del 11 de enero de 2022
-
Patrón de objeto de directiva
Las actualizaciones modifican el patrón del objeto de directiva del protocolo al añadir un nuevo método de directiva abierta que permite que el cliente y el servidor compartan información sobre la compatibilidad con AES.Método antiguo con RC4
Nuevo método con AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Para obtener una lista completa de los opnums del protocolo MS-LSAR, consulte [MS-LSAD]: eventos de procesamiento de mensajes y reglas de secuenciación.
-
Patrón de objeto de dominio de confianza
Las actualizaciones modifican el patrón de creación del objeto de dominio de confianza del protocolo al añadir un nuevo método para crear una confianza que usará AES para cifrar los datos de autenticación.
La API LsaCreateTrustedDomainEx ahora preferirá el nuevo método si el cliente y el servidor están actualizados y, de lo contrario, recurrirá al método anterior.
Método antiguo con RC4
Nuevo método con AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Las actualizaciones modifican el patrón de configuración de objetos de dominio de confianza del protocolo al añadir dos nuevas clases de información de confianza a los métodos LsarSetInformationTrustedDomain (Opnum 27) y LsarSetTrustedDomainInfoByName (Opnum 49). Puede configurar la información del objeto de dominio de confianza de la siguiente manera.
Método antiguo con RC4
Nuevo método con AES
LsarSetInformationTrustedDomain (Opnum 27) con TrustedDomainAuthInformationInternal o TrustedDomainFullInformationInternal (tiene una contraseña de confianza cifrada que usa RC4)
LsarSetInformationTrustedDomain (Opnum 27) con TrustedDomainAuthInformationInternalAes o TrustedDomainFullInformationAes (tiene una contraseña de confianza cifrada que usa AES)
LsarSetTrustedDomainInfoByName (Opnum 49) con TrustedDomainAuthInformationInternal o TrustedDomainFullInformationInternal (tiene una contraseña de confianza cifrada que usa RC4 y todos los demás atributos)
LsarSetTrustedDomainInfoByName (Opnum 49) con TrustedDomainAuthInformationInternalAes o TrustedDomainFullInformationInternalAes (tiene una contraseña de confianza cifrada que usa AES y todos los demás atributos)
Cómo funciona el nuevo comportamiento
El método LsarOpenPolicy2 existente normalmente se usa para abrir un identificador de contexto en el servidor RPC. Esta es la primera función a la que se debe llamar para ponerse en contacto con la base de datos de Protocolo remoto de autoridad de seguridad local (Directiva de dominio). Después de instalar estas actualizaciones, el nuevo método LsarOpenPolicy3 reemplaza a LsarOpenPolicy2.
Un cliente actualizado que llama a la API LsaOpenPolicy ahora llamará primero al método LsarOpenPolicy3. Si el servidor no se actualiza y no implementa el método LsarOpenPolicy3, el cliente recurre al método LsarOpenPolicy2 y utiliza los métodos anteriores que emplean el cifrado RC4.
Un servidor actualizado devolverá un nuevo bit en la respuesta del método LsarOpenPolicy3, como se define en LSAPR_REVISION_INFO_V1. Para obtener más información, consulte las secciones Uso de cifrado AES y LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES en MS-LSAD.
Si el servidor es compatible con AES, el cliente utilizará los nuevos métodos y las nuevas clases de información para las operaciones posteriores de "creación" y "configuración" del dominio de confianza. Si el servidor no devuelve esta marca, o si el cliente no se actualiza, el cliente volverá a utilizar los métodos anteriores que utilizan el cifrado RC4.
Registro de eventos
Las actualizaciones del 11 de enero de 2022 añaden un nuevo evento al registro de eventos de seguridad para ayudar a identificar los dispositivos que no están actualizados y a mejorar la seguridad.
Valor |
Significado |
---|---|
Origen del evento |
Microsoft-Windows-Security |
Id. del evento |
6425 |
Nivel |
Information |
Texto del mensaje del evento |
Un cliente de red usó un método RPC heredado para modificar la información de autenticación en un objeto de dominio de confianza. La información de autenticación se cifró con un algoritmo de cifrado heredado. Considere la posibilidad de actualizar el sistema operativo o la aplicación cliente para usar la versión más reciente y más segura de este método. Dominio de confianza:
Modificado por:
Dirección de red del cliente: Para obtener más información, vaya a https://go.microsoft.com/fwlink/?linkid=2161080. |
Preguntas más frecuentes (P+F)
P1: ¿Qué escenarios desencadenan una degradación de AES a RC4?
R1: Se produce una degradación si el servidor o el cliente no admite AES.
P2: ¿Cómo puedo saber si se negoció el cifrado RC4 o el cifrado AES?
R2: Los servidores actualizados registrarán el evento 6425 cuando se utilicen métodos heredados que usan RC4.
P3: ¿Puedo solicitar el cifrado AES en el servidor y las futuras actualizaciones de Windows aplicarán mediante programación el uso de AES?
R3: Actualmente, no hay ningún modo de aplicación disponible. Sin embargo, podría haberlo en el futuro, aunque tal cambio no está programado.
P4: ¿Los clientes de terceros admiten protecciones para CVE-2022-21913 para negociar AES cuando el servidor lo admite? ¿Debo ponerme en contacto con el Soporte técnico de Microsoft o con el equipo de soporte técnico externo para abordar esta pregunta?
R4: Si un dispositivo o aplicación de terceros no utiliza el protocolo MS-LSAD, esto no es importante. Los proveedores de terceros que implementan el protocolo MS-LSAD pueden optar por implementar este protocolo. Para obtener más información, póngase en contacto con su proveedor externo.
P5: ¿Se deben realizar cambios de configuración adicionales?
R5: No son necesarios cambios de configuración adicionales.
P6: ¿Qué utiliza este protocolo?
A6: Muchos componentes de Windows utilizan el protocolo MS-LSAD, incluido Active Directory y herramientas como, por ejemplo, la consola Dominios y confianzas de Active Directory. Las aplicaciones también pueden usar este protocolo a través de las API de la biblioteca advapi32, como LsaOpenPolicy o LsaCreateTrustedDomainEx.