Resumen
Microsoft ha publicado una actualización de Windows para solucionar una vulnerabilidad de ataque de reproducción de tokens en Servicios de federación de Active Directory (AD FS) (AD FS), como se describe en CVE-2023-35348. Esta actualización la instalan las actualizaciones de Windows publicadas el 11 de julio de 2023 o después. De forma predeterminada, esta actualización está instalada deshabilitada. Para habilitar la actualización, debe configurar la configuración EnforceNonceInJWT .
Más información
Esta actualización introduce una nueva configuración para habilitar la validación de Nonce desde la aserción JSON Web Token (JWT) durante la autenticación de usuario de JWT.
En este artículo se describe cómo habilitar la configuración y se proporcionan detalles de los eventos registrados en servidores de AD FS para los valores admitidos de la configuración.
Configuración de EnforceNonceInJWT
Un administrador en un servidor ADFS puede configurar EnforceNonceInJWT para que se ejecute en uno de los modos siguientes:
-
Ninguno (valor predeterminado): se usa para realizar un seguimiento de si el valor del valor EnforceNonceInJWT se ha cambiado alguna vez. Es posible que un administrador no establezca este valor. El servidor ADFS valida el nonce solo cuando está presente en la aserción JWT, pero no exige la presencia de él.
-
Deshabilitado: Este valor se puede establecer para deshabilitar la corrección, si se producen problemas con el valor predeterminado o posterior a su habilitación.
-
Enabled: Habilita la configuración EnforceNonceInJWT . El servidor ADFS exige que Nonce esté presente en la aserción del JWT y también es válido cuando se cumplen ciertas condiciones.
Los modos EnforceNonceInJWT pueden cambiarse por un administrador en un servidor de AD FS mediante los siguientes comandos de PowerShell:
-
Habilitar EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Enabled -
Deshabilitar EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Disabled -
Compruebe el estado de la configuración EnforceNonceInJWT:
Un administrador puede ejecutar Get-AdfsProperties para comprobar la configuración actual de EnforceNonceInJWT . El valor de EnforceNonceInJWT devuelto coincidirá con el modo configurado.
Eventos registrados
Es posible que se registren los siguientes eventos en un servidor AD FS después de instalar las actualizaciones de Windows publicadas el 11 de julio de 2023 o después:
Nota El evento 187 se registra siempre que el servidor AD FS recibe una solicitud que no contiene Nonce en la aserción JWT y EnforceNonceInJWT se establece en Ninguno o Deshabilitado.
Fuente: AD FS
Nivel: Advertencia
Id.: 187
Mensaje: El servidor AD FS recibió un token JWT sin ninguna referencia en la aserción y se aceptó en función de la configuración actual de EnforceNonceInJWT. Sin embargo, indica una posible reproducción del token JWT por un cliente malintencionado o la posibilidad de que el cliente no sea parcheado con la última Novedades de Windows. Asegúrese de actualizar la configuración EnforceNonceInJWT para rechazar todos estos tokens JWT después de aplicar parches a los clientes con la última Novedades de Windows. Para obtener más información al respecto, consulta https://go.microsoft.com/fwlink/?linkid=2238156.
Nota El evento 188 se registra con cada inicio de servicio de AD FS cuando EnforceNonceInJWT se establece en Ninguno o Deshabilitado.
Fuente: AD FS
Nivel: Error
Id.: 188
Mensaje: El servidor AD FS no está configurado para rechazar tokens JWT que no tenían nada en la aserción. La configuración correspondiente (EnforceNonceInJWT) debe habilitarse por motivos de seguridad después de asegurarse de que todos los clientes tienen revisiones con la última Novedades de Windows. El evento 187 indica las instancias en las que AD FS ha recibido estos tokens y aceptado debido a la configuración actual de EnforceNonceInJWT. Para obtener más información al respecto, consulta https://go.microsoft.com/fwlink/?linkid=2238156.
Tomar medidas
Instala las actualizaciones de Windows publicadas el 11 de julio de 2023 o después en todos los servidores de AD FS de la granja de servidores. Después, habilite la configuración ejecutando el siguiente comando de PowerShell en el servidor de AD FS principal de la granja de servidores:
Set-AdfsProperties -EnforceNonceInJWT Enabled
Importante Es posible que vea errores de autenticación en determinados escenarios cuando hay clientes que no se actualizan y envían solicitudes de autenticación JWT al servidor de AD FS. En estos casos, se recomienda actualizar todos los clientes instalando la actualización de Windows publicada el 11 de julio de 2023 o después. Como alternativa, un administrador puede deshabilitar la configuración EnforceNonceInJWT y supervisar los servidores de AD FS para el registro del evento 187 con el fin de identificar posibles solicitudes que se podrían rechazar cuando EnforceNonceInJWT se establece en Habilitado. Después de confirmar la ausencia del Evento 187 en servidores de AD FS durante un período de tiempo definido, la configuración EnforceNonceInJWT debe actualizarse a Habilitado.
