Värskendatud 20.03.2024 – lisatud LDS-viited
Kokkuvõte
CVE-2021-42291 lahendab turbeeralduse nõrkuse, mis võimaldab teatud kasutajatel määrata meelevaldseid väärtusi Active Directorys (AD) või Lightweight Directory Service'is (LDS) talletatud kindlate objektide turbetundlikele atribuutidele. Selle nõrkuse kasutamiseks peavad kasutajal olema piisavad õigused arvutist tuletatud objekti loomiseks (nt kasutaja andis arvutiobjektidele CreateChildi õigused). See kasutaja saab luua arvutikonto, kasutades Lightweight Directory Access Protocoli (LDAP) Add call, mis lubab liigselt leebet juurdepääsu securityDescriptori atribuudile. Lisaks saavad autorid ja omanikud pärast konto loomist turbetundlikke atribuute muuta. Seda saab kasutada õiguste laiendamiseks teatud juhtudel.
MärkusLDS logib sündmused 3050, 3053, 3051 ja 3054 objektidele kaudse juurdepääsu oleku kohta nagu AD.
CVE-2021-42291 leevendused koosnevad järgmistest osadest:
-
Täiendav autoriseerimise kontrollimine, kui ilma domeeni või LDS-i administraatori õigusteta kasutajad proovivad arvutist tuletatud objekti LDAP-lisamist. See hõlmab vaikimisi auditirežiimi, mis auditeerib selliste katsete toimumise korral ilma taotlust häirimata ja jõustamisrežiim, mis selliseid katseid blokeerib.
-
Kaudse omaniku õiguste ajutine eemaldamine, kui ilma domeeniadministraatori õigusteta kasutajad proovivad Atribuudi securityDescriptor toimingut LDAP modify. Toimub kontrollimine, et kontrollida, kas kasutajal on lubatud kirjutada turbedeskriptorit ilma kaudselt omaniku õigusteta. See hõlmab ka vaikimisi auditeerimisrežiimi, mis auditeerib selliste katsete toimumise korral ilma taotlust segamata ja jõustamisrežiim, mis selliseid katseid blokeerib.
Toiming
Oma keskkonna kaitsmiseks ja katkestuste vältimiseks tehke järgmist.
-
Värskendage kõik seadmed, mis majutavad Active Directory domeenikontrollerit või LDS Serveri rolli, installides uusimad Windowsi värskendused. 9. novembri 2021 või uuema värskendusega arvutites on muudatused vaikimisi auditirežiimis.
-
Jälgige kataloogiteenuse või LDS-i sündmuste logi 3044-3056 sündmuste jaoks domeenikontrollerites ja LDS-serverites, millel on 9. novembri 2021 või uuemad Windowsi värskendused. Logitud sündmused näitavad, et kasutajal võivad olla liigsed õigused suvaliste turbetundlike atribuutidega arvutikontode loomiseks. Andke Microsoftile teada ootamatutest stsenaariumidest, kasutades Premieri või Unified'i toe juhtumit või tagasisidekeskust. (Nende sündmuste näite leiate jaotisest Äsja lisatud sündmused.)
-
Kui auditirežiim ei tuvasta piisavalt kaua ootamatuid õigusi, aktiveerige jõustamisrežiim ja veenduge, et negatiivseid tulemusi ei tekiks. Andke Microsoftile teada ootamatutest stsenaariumidest, kasutades Premieri või Unified'i toe juhtumit või tagasisidekeskust.
Windowsi värskenduste ajastus
Need Windowsi värskendused antakse välja kahes etapis.
-
Algne juurutamine – värskenduse sissejuhatus, sh vaikimisi auditeerimine, jõustamine või keelamine režiimid, mis on konfigureeritavad atribuudi dSHeuristics abil.
-
Lõplik juurutamine – jõustamine vaikimisi.
9. november 2021: algne juurutamise etapp
Algne juurutusetapp algab Windowsi värskendusega, mis anti välja 9. novembril 2021. See väljalase lisab arvuti või arvutist tuletatud objektide loomise või muutmise ajal domeeniadministraatori õigusteta kasutajate seatud õiguste auditeerimise. Samuti lisatakse jõustamis- ja keelamisrežiim. Atribuudi dSHeuristics abil saate iga Active Directory metsa jaoks režiimi globaalselt määrata.
(Värskendatud 15.12.2023) Lõppjuurutusetapp
Lõplik juurutamise etapp võib alata, kui olete täitnud jaotises Toiming loetletud toimingud. Jõustamisrežiimi aktiveerimiseks järgige jaotises Juurutusjuhised toodud juhiseid, et määrata atribuudi dSHeuristics 28. ja 29. bitt. Seejärel jälgige sündmusi 3044-3046. Need annavad teada, kui jõustamisrežiim on blokeerinud toimingu LDAP Add or Modify, mis võis varem olla auditirežiimis lubatud.
Juurutamise juhised
Konfiguratsiooniteabe seadmine
Pärast CVE-2021-42291 installimist juhivad värskenduse käitumist dSHeuristicsi atribuudi märgid 28 ja 29. Atribuut dSHeuristics asub igas Active Directory metsas ja sisaldab kogu metsa sätteid. Atribuut dSHeuristics on objekti "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD ) või "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS) atribuut. Lisateavet vt 6.1.1.2.4.1.2 dSHeuristics and DS-Heuristics atribuut .
Character 28 – täiendavad autentimiskontrollid LDAP-i lisamistoimingute jaoks
0: vaikimisi auditeerimine on lubatud. Sündmus logitakse, kui ilma domeeniadministraatori õigusteta kasutajad seavad securityDescriptori või muud atribuudid väärtustele, mis võivad anda liigseid õigusi , mis võivad tulevikus lubada kasutamist uutel arvutist tuletatud AD-objektidel.
1: jõustamisrežiim on lubatud. See takistab domeeniadministraatori õigusteta kasutajatel määrata securityDescriptorit või muid atribuute väärtustele, mis võivad anda arvutist tuletatud AD-objektidele liigseid õigusi. Sündmus logitakse ka selle ilmnemisel.
2.Keelab värskendatud auditeerimise ja ei jõusta lisatud turvalisust. Pole soovitatav.
Näide: Kui teie metsas polnud muid dSHeuristicsi sätteid lubatud ja soovite täiendava authZ-kontrolli jaoks aktiveerida jõustamisrežiimi, peaks atribuudi dSHeuristics väärtuseks olema seatud:
"0000000001000000000200000001"
Praegusel juhul määratud märgid on järgmised.
10-nda märgi väärtus: kui atribuut dSHeuristics on vähemalt 10 märki
, peab see olema seatud väärtusele 1
20th char: peab olema seatud väärtusele 2, kui atribuut dSHeuristics on vähemalt 20 märki
28.nda märk: täiendavaautentimiskontrolli jõustamisrežiimi lubamiseks peab olema määratud 1
Märk 29 – LDAP-toimingute kaudse omaniku ajutine eemaldamine
0: vaikimisi auditeerimine on lubatud. Sündmus logitakse siis, kui ilma domeeniadministraatori õigusteta kasutajad seavad securityDescriptori väärtuseks väärtused, mis võivad olemasolevatele arvutist tuletatud AD-objektidele anda liigseid õigusi, mis võivad tulevikus lubada kasutamist.
1: jõustamisrežiim on lubatud. See takistab domeeniadministraatori õigusteta kasutajatel määrata securityDescriptori väärtuseks väärtused, mis võivad olemasolevatele arvutist tuletatud AD-objektidele anda liigseid õigusi. Sündmus logitakse ka selle ilmnemisel.
2.Keelab värskendatud auditeerimise ja ei jõusta lisatud turvalisust. Pole soovitatav.
Näide: Kui teie metsas oli määratud ainult täiendav authZ-i kinnituste dsHeuristics lipp ja soovite ajutise kaudse omandiõiguse eemaldamise jõustamisrežiimi aktiveerida, peaks atribuudi dSHeuristics väärtuseks olema seatud:
"00000000010000000002000000011"
Praegusel juhul määratud märgid on järgmised.
10-nda märgi väärtus: peab olema seatud väärtusele 1, kui atribuut dSHeuristics on vähemalt 10 märki
20th char: peab olema seatud väärtusele 2, kui atribuut dSHeuristics on vähemalt 20 märki
28.nda märk: täiendavaautentimiskontrolli
jõustamisrežiimi lubamiseks peab olema määratud 1
29.nda märk: ajutise kaudse omandiõiguse eemaldamise jõustamisrežiimi lubamiseks peab olema seatud väärtus 1
Äsja lisatud sündmused
9. novembri 2021 Windowsi värskendus lisab ka uusi sündmuselogisid.
Režiimimuutmissündmused – täiendav autentimiskontroll LDAP lisamistoimingute jaoks
Sündmused, mis ilmnevad atribuudi dSHeuristics bit 28 muutmisel, mis muudab LDAP Add toimingute osa värskenduse täiendavate authZ-kontrollimiste režiimi.
|
Sündmuste logi |
Kataloogiteenused |
|
Sündmuse tüüp |
Informatiivsel |
|
Sündmuse ID |
3050 |
|
Sündmuse tekst |
Kataloog on konfigureeritud jõustama Atribuudikohast autoriseerimist LDAP lisamistoimingute ajal. See on kõige turvalisem säte ja edasisi toiminguid pole vaja teha. |
|
Sündmuste logi |
Kataloogiteenused |
|
Sündmuse tüüp |
Hoiatus! |
|
Sündmuse ID |
3051 |
|
Sündmuse tekst |
Kataloog on konfigureeritud nii, et LDAP-lisamistoimingute ajal ei jõustata atribuudikohast autoriseerimist. Hoiatussündmused logitakse, kuid taotlusi ei blokeerita. See säte pole turvaline ja seda tuleks kasutada ainult ajutise tõrkeotsinguetapina. Soovitatud leevendused leiate allpool olevast lingist. |
|
Sündmuste logi |
Kataloogiteenused |
|
Sündmuse tüüp |
Tõrge |
|
Sündmuse ID |
3052 |
|
Sündmuse tekst |
Kataloog on konfigureeritud nii, et LDAP-lisamistoimingute ajal ei jõustata atribuudikohast autoriseerimist. Sündmusi ei logita ja taotlusi ei blokeerita. See säte pole turvaline ja seda tuleks kasutada ainult ajutise tõrkeotsinguetapina. Soovitatud leevendused leiate allpool olevast lingist. |
Režiimimuutmissündmused – kaudse omaniku õiguste ajutine eemaldamine
Sündmused, mis ilmnevad atribuudi dSHeuristics bit 29 muutmisel, mis muudab värskenduse kaudselt omaniku õiguste osa ajutise eemaldamise režiimi.
|
Sündmuste logi |
Kataloogiteenused |
|
Sündmuse tüüp |
Informatiivsel |
|
Sündmuse ID |
3053 |
|
Sündmuse tekst |
Kataloog on konfigureeritud blokeerima kaudseid omanikuõigusi, kui LDAP lisamise ja muutmise ajal alguses määrati või muudeti atribuuti nTSecurityDescriptor. See on kõige turvalisem säte ja edasisi toiminguid pole vaja teha. |
|
Sündmuste logi |
Kataloogiteenused |
|
Sündmuse tüüp |
Hoiatus! |
|
Sündmuse ID |
3054 |
|
Sündmuse tekst |
Kataloog on konfigureeritud lubama kaudseid omanikuõigusi, kui LDAP lisamise ja muutmise ajal alguses määrati või muudeti atribuuti nTSecurityDescriptor. Hoiatussündmused logitakse, kuid taotlusi ei blokeerita. See säte pole turvaline ja seda tuleks kasutada ainult ajutise tõrkeotsinguetapina. |
|
Sündmuste logi |
Kataloogiteenused |
|
Sündmuse tüüp |
Tõrge |
|
Sündmuse ID |
3055 |
|
Sündmuse tekst |
Kataloog on konfigureeritud lubama kaudseid omanikuõigusi, kui LDAP lisamise ja muutmise ajal alguses määrati või muudeti atribuuti nTSecurityDescriptor. Sündmusi ei logita ja taotlusi ei blokeerita. See säte pole turvaline ja seda tuleks kasutada ainult ajutise tõrkeotsinguetapina. |
Auditirežiimi sündmused
Auditirežiimis toimuvad sündmused võimalike turbeprobleemide logimiseks toiminguga LDAP Add või Modify.
|
Sündmuste logi |
Kataloogiteenused |
|
Sündmuse tüüp |
Hoiatus! |
|
Sündmuse ID |
3047 |
|
Sündmuse tekst |
Kataloogiteenus tuvastas LDAP-lisamise taotluse järgmise objekti jaoks, mis oleks tavaliselt järgmistel turbekaalutlustel blokeeritud. Kliendil polnud ühendatud vaiketurbedeskriptori põhjal õigust kirjutada ühte või mitut lisamistaotlusesse kaasatud atribuuti. Taotlusel lubati jätkata, kuna kataloog on selle turbekontrolli jaoks konfigureeritud olema auditirežiimis. Objekti DN: <loodud objekti DN-> Objektiklass: <loodud objekti objektKlassi> Kasutaja: <LDAP-i proovinud kasutaja lisab> Kliendi IP-aadress: <taotleja IP> Turvalisuse desc: <SD, mida prooviti> |
|
Sündmuste logi |
Kataloogiteenused |
|
Sündmuse tüüp |
Hoiatus! |
|
Sündmuse ID |
3048 |
|
Sündmuse tekst |
Kataloogiteenus tuvastas LDAP-lisamise taotluse järgmise objekti jaoks, mis oleks tavaliselt järgmistel turbekaalutlustel blokeeritud. Klientrakendus lisas lisamistaotlusesse atribuudi nTSecurityDescriptor, kuid tal polnud konkreetset õigust kirjutada uue turbedeskriptori ühte või mitut osa, mis põhineksid vaikimisi ühendatud turbedeskriptoril. Taotlusel lubati jätkata, kuna kataloog on selle turbekontrolli jaoks konfigureeritud olema auditirežiimis. Objekti DN: <loodud objekti DN-> Objektiklass: <loodud objekti objektKlassi> Kasutaja: <LDAP-i proovinud kasutaja lisab> Kliendi IP-aadress: <taotleja IP> |
|
Sündmuste logi |
Kataloogiteenused |
|
Sündmuse tüüp |
Hoiatus! |
|
Sündmuse ID |
3049 |
|
Sündmuse tekst |
Kataloogiteenus tuvastas järgmise objekti LDAP-muutmistaotluse, mis oleks tavaliselt olnud blokeeritud järgmistel turbekaalutlustel. Klientrakendus lisas lisamistaotlusesse atribuudi nTSecurityDescriptor, kuid tal polnud konkreetset õigust kirjutada uue turbedeskriptori ühte või mitut osa, mis põhineksid vaikimisi ühendatud turbedeskriptoril. Taotlusel lubati jätkata, kuna kataloog on selle turbekontrolli jaoks konfigureeritud olema auditirežiimis. Objekti DN: <loodud objekti DN-> Objektiklass: <loodud objekti objektKlassi> Kasutaja: <LDAP-i proovinud kasutaja lisab> Kliendi IP-aadress: <taotleja IP> |
|
Sündmuste logi |
Kataloogiteenused |
|
Sündmuse tüüp |
Hoiatus! |
|
Sündmuse ID |
3056 |
|
Sündmuse tekst |
Kataloogiteenus töötles allpool määratud objekti atribuudi sdRightsEffective päringut. Tagastatud juurdepääsumask sisaldas WRITE_DAC, kuid ainult seetõttu, et kataloog on konfigureeritud lubama kaudseid omanikuõigusi, mis pole turvaline säte. Objekti DN: <loodud objekti DN-> Kasutaja: <LDAP-i proovinud kasutaja lisab> Kliendi IP-aadress: <taotleja IP> |
Jõustamisrežiim – LDAP-i lisamise tõrked
Sündmused, mis ilmnevad, kui LDAP-i lisamise toiming on keelatud.
|
Sündmuste logi |
Kataloogiteenused |
|
Sündmuse tüüp |
Hoiatus! |
|
Sündmuse ID |
3044 |
|
Sündmuse tekst |
Kataloogiteenus lükkas tagasi LDAP-lisamistaotluse järgmise objekti kohta. Taotlus lükati tagasi, kuna kliendil polnud ühendatud vaiketurbedeskriptori põhjal õigust kirjutada ühte või mitut lisamistaotlusesse kaasatud atribuuti. Objekti DN: <loodud objekti DN-> Objektiklass: <loodud objekti objektKlassi> Kasutaja: <LDAP-i proovinud kasutaja lisab> Kliendi IP-aadress: <taotleja IP> Turvalisuse desc: <SD, mida prooviti> |
|
Sündmuste logi |
Kataloogiteenused |
|
Sündmuse tüüp |
Hoiatus! |
|
Sündmuse ID |
3045 |
|
Sündmuse tekst |
Kataloogiteenus lükkas tagasi LDAP-lisamistaotluse järgmise objekti kohta. Taotlus lükati tagasi, kuna klient lisas lisamistaotlusesse atribuudi nTSecurityDescriptor, kuid tal polnud selgesõnalist õigust kirjutada uue turbedeskriptori ühte või mitut osa, mis põhineks vaikimisi ühendatud turbedeskriptoril. Objekti DN: <loodud objekti DN-> Objektiklass: <loodud objekti objektKlassi> Kasutaja: <LDAP-i proovinud kasutaja lisab> Kliendi IP-aadress: <taotleja IP> |
Jõustamisrežiim – LDAP-i muutmise tõrked
Sündmused, mis ilmnevad, kui LDAP-toimingu muutmine on keelatud.
|
Sündmuste logi |
Kataloogiteenused |
|
Sündmuse tüüp |
Hoiatus! |
|
Sündmuse ID |
3046 |
|
Sündmuse tekst |
Kataloogiteenus lükkas järgmise objekti LDAP-muutmistaotluse tagasi. Taotlus lükati tagasi, kuna klient lisas muutmistaotlusesse atribuudi nTSecurityDescriptor, kuid tal polnud konkreetset õigust kirjutada uue turbedeskriptori ühte või mitut osa objekti olemasoleva turbedeskriptori põhjal. Objekti DN: <loodud objekti DN-> Objektiklass: <loodud objekti objektKlassi> Kasutaja: <LDAP-i proovinud kasutaja lisab> Kliendi IP-aadress: <taotleja IP> |
Korduma kippuvad küsimused
Q1 Mis juhtub, kui mul on segu Active Directory domeenikontrolleritest, mida värskendatakse ja ei värskendata?
A1 Värskendamata DC-d ei logi selle nõrkuse sündmuseid.
K2 Mida pean tegema Read-Only domeenikontrollerite (RODCs) jaoks?
A2 Midagi; LDAP lisamis- ja muutmistoimingud ei saa RODC-sid sihtida.
Q3 Mul on kolmanda osapoole toode või protsess, mis nurjub pärast jõustamisrežiimi lubamist. Kas pean andma teenusele või kasutajadomeeni administraatoriõigused?
A3 Üldiselt ei soovita me probleemi esimese lahendusena lisada domeeniadministraatorite rühma teenust või kasutajat. Uurige sündmuselogisid, et näha, millised õigused on nõutavad, ja kaaluge selle kasutaja jaoks asjakohaselt piiratud õiguste delegeerimist selleks määratud eraldi organisatsiooniüksusesse.
Q4 Näen auditisündmusi ka LDS-serverites. Miks see toimub?
A4Kõik eespool kirjeldatu kehtib ka AD LDS-i kohta, kuigi LDS-is on arvutiobjektide olemasolu väga ebatavaline. Leevendusmeetmete abil tuleks lubada AD LDS-i kaitse ka siis, kui auditirežiim ei tuvasta ootamatuid õigusi.
