Päivitetty 20.3.2024 – Lisättyjä LDS-viittauksia
Yhteenveto
CVE-2021-42291 korjaa suojauksen ohitushaavoittuvuuden, jonka avulla tietyt käyttäjät voivat määrittää satunnaisia arvoja tiettyjen Active Directoryyn (AD) tai LDS(Lightweight Directory Service) tallennettujen objektien suojausherkkiin määritteisiin. Jotta käyttäjä voi hyödyntää tätä haavoittuvuutta, hänellä on oltava riittävät oikeudet luoda tietokoneesta johdettu objekti, kuten käyttäjä, jolle on myönnetty CreateChild-käyttöoikeudet tietokoneobjekteille. Kyseinen käyttäjä voi luoda tietokonetilin LDAP (Lightweight Directory Access Protocol) -protokollan avulla Lisäämällä puhelun, joka sallii securityDescriptor-määritteen käytön liikaa. Lisäksi sisällöntuottajat ja omistajat voivat muokata suojaukseen liittyviä määritteitä tilin luomisen jälkeen. Tätä voidaan hyödyntää käyttöoikeuksien nostamiseen tietyissä tilanteissa.
HuomautusLDS kirjaa tapahtumat 3050, 3053, 3051 ja 3054 objektien implisiittisen käytön tilasta samalla tavalla kuin AD.
CVE-2021-42291:n lievennykset koostuvat seuraavista:
-
Valtuutuksen lisätarkistus, kun käyttäjät, joilla ei ole toimialuetta tai LDS-järjestelmänvalvojan oikeuksia, yrittävät LDAP-lisäystoimintoa tietokonepohjaiselle objektille. Tämä sisältää valvonta-oletusarvoisen tilan, joka tarkastaa, milloin tällaiset yritykset tapahtuvat häiritsemättä pyyntöä, ja pakotustilan, joka estää tällaiset yritykset.
-
Implisiittisen omistajan oikeuksien tilapäinen poistaminen, kun käyttäjät, joilla ei ole toimialueen järjestelmänvalvojan oikeuksia, yrittävät LDAP-muokkaustoimintoa securityDescriptor-määritteessä . Tarkistus tehdään sen vahvistamiseksi, saako käyttäjä kirjoittaa suojauskuvaimen ilman implisiittisen omistajan oikeuksia. Tämä sisältää myös Valvonta oletusarvoisesti -tilan, joka tarkastaa, milloin tällaiset yritykset tapahtuvat häiritsemättä pyyntöä, ja pakotustilan, joka estää tällaiset yritykset.
Toimi
Voit suojata ympäristösi ja välttää käyttökatkot noudattamalla seuraavia ohjeita:
-
Päivitä kaikki laitteet, joissa on Active Directory -toimialueen ohjauskone tai LDS Server -rooli, asentamalla uusimmat Windows-päivitykset. Jos tietokoneessa on 9. marraskuuta 2021 tai uudempi päivitys, muutokset ovat oletusarvoisesti valvontatilassa.
-
Valvo Hakemistopalvelun tai LDS:n tapahtumalokia 3044–3056-tapahtumissa toimialueen ohjauskoneissa ja LDS-palvelimissa, joissa on 9. marraskuuta 2021 tai uudempi Windows-päivitys. Kirjatut tapahtumat osoittavat, että käyttäjällä voi olla liikaa oikeuksia luoda tietokonetilejä, joilla on satunnaiset suojausherkät määritteet. Ilmoita odottamattomista skenaarioista Microsoftille Premier- tai Unified Support -tapauksen tai Palautekeskuksen avulla. (Esimerkki näistä tapahtumista on Äskettäin lisätyt tapahtumat -osassa.)
-
Jos valvontatila ei havaitse odottamattomia oikeuksia riittävän pitkään aikaan, siirry pakotustilaan ja varmista, ettei negatiivisia tuloksia tapahdu. Ilmoita odottamattomista skenaarioista Microsoftille Premier- tai Unified Support -tapauksen tai Palautekeskuksen avulla.
Windows-päivitysten ajoitus
Nämä Windows-päivitykset julkaistaan kahdessa vaiheessa:
-
Ensimmäinen käyttöönotto – Päivityksen esittely, mukaan lukien oletusarvoisesti valvottavat, pakotettavat tai käytöstä poistettavat tilat, jotka voidaan määrittää dSHeuristics-määritteen avulla.
-
Lopullinen käyttöönotto – pakotus oletusarvoisesti.
9. marraskuuta 2021: Ensimmäinen käyttöönottovaihe
Ensimmäinen käyttöönottovaihe alkaa 9. marraskuuta 2021 julkaistusta Windows-päivityksestä. Tämä julkaisu lisää niiden käyttäjien määrittämien käyttöoikeuksien valvonnan, joilla ei ole toimialueen järjestelmänvalvojan oikeuksia, tietokoneen tai tietokoneen johdettujen objektien luomisen tai muokkaamisen aikana. Se lisää myös Pakotus- ja Poista käytöstä -tilan. Voit määrittää tilan yleisesti kullekin Active Directory -puuryhmälle dSHeuristics-määritteen avulla.
(Päivitetty 15.12.2023) Lopullinen käyttöönottovaihe
Lopullinen käyttöönottovaihe voi alkaa, kun olet suorittanut Toimet-osassa luetellut vaiheet. Jos haluat siirtyä pakotustilaan, määritä dSHeuristics-määritteen 28. ja 29. bittiä käyttöönoton ohjeet -osiossa. Seuraa sitten tapahtumia 3044-3046. He ilmoittavat, kun pakotustila on estänyt LDAP-lisäämis- tai muokkaustoiminnon, joka on ehkä aiemmin sallittu valvontatilassa.
Käyttöönotto-ohjeet
Määritystietojen määrittäminen
CVE-2021-42291:n asentamisen jälkeen dSHeuristics-määritteen merkit 28 ja 29 ohjaavat päivityksen toimintaa. DSHeuristics-määrite on jokaisessa Active Directory -puuryhmässä, ja se sisältää koko toimialueen asetukset. dSHeuristics-määrite on "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD) tai "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS) -objektin määrite. Lisätietoja on kohdassa 6.1.1.2.4.1.2 dSHeuristics and DS-Heuristics attribute .
Merkki 28 – LDAP-lisätoimintojen todennukset
0: Valvonta oletusarvoisesti -tila on käytössä. Tapahtuma kirjataan lokiin, kun käyttäjät, joilla ei ole toimialueen järjestelmänvalvojan oikeuksia, määrittävät securityDescriptor - tai muita määritteitä arvoille, jotka saattavat myöntää liian suuria käyttöoikeuksia, mahdollisesti sallia myöhempää hyödyntämistä, uusiin tietokonepohjaisiin AD-objekteihin.
1: Pakotustila on käytössä. Tämä estää käyttäjiä, joilla ei ole toimialueen järjestelmänvalvojan oikeuksia, määrittämästä suojausmääritettä tai muita määritteitä arvoille, jotka saattavat myöntää liian suuria käyttöoikeuksia tietokonepohjaisille AD-objekteille. Tapahtuma kirjataan myös lokiin, kun näin tapahtuu.
2: Poistaa päivitetyn valvonnan käytöstä eikä valvo lisättyä suojausta. Ei suositella.
Esimerkki: Jos sinulla ei ollut muita dSHeuristics-asetuksia käytössä toimialuepuuryhmässäsi ja haluat siirtyä pakotustilaan todennusta varten, dSHeuristics-määritteen arvona on oltava:
"0000000001000000000200000001"
Tässä tapauksessa määritetyt merkit ovat seuraavat:
10. merkki: Arvon on oltava 1, jos dSHeuristics-määrite on vähintään 10 merkkiä
20. merkki: Arvon on oltava 2, jos dSHeuristics-määrite on vähintään 20 merkkiä
28. merkki: On määritettävä arvoksi 1, jotta pakotustila voidaan ottaa käyttöön Todennus-lisävahvistusta varten
Merkki 29 – Implisiittisen omistajan tilapäinen poistaminen LDAP-muokkaustoimintoja varten
0: Valvonta oletusarvoisesti -tila on käytössä. Tapahtuma kirjataan lokiin, kun käyttäjät, joilla ei ole toimialueen järjestelmänvalvojan oikeuksia, määrittävät securityDescriptor-asetukseksi arvot, jotka saattavat myöntää liian suuria käyttöoikeuksia, mahdollisesti myöhempää hyödyntämistä varten, olemassa oleviin tietokonepohjaisiin AD-objekteihin.
1: Pakotustila on käytössä. Tämä estää käyttäjiä, joilla ei ole toimialueen järjestelmänvalvojan oikeuksia, määrittämästä suojausmääritettä arvoille, jotka saattavat myöntää liian suuria käyttöoikeuksia olemassa oleville tietokonepohjaisiin AD-objekteihin. Tapahtuma kirjataan myös lokiin, kun näin tapahtuu.
2:Poistaa päivitetyn valvonnan käytöstä eikä valvo lisättyä suojausta. Ei suositella.
Esimerkki: Jos vain muut authz-vahvistukset dsHeuristics -merkintä on määritetty puuryhmässäsi ja haluat siirtyä pakotustilaan tilapäistä implisiittistä omistajuutta poistettaessa, dSHeuristics-määritteen arvona on oltava:
"00000000010000000002000000011"
Tässä tapauksessa määritetyt merkit ovat seuraavat:
10. merkki: Arvon on oltava 1, jos dSHeuristics-määrite on vähintään 10 merkkiä
20. merkki: Arvon on oltava 2, jos dSHeuristics-määrite on vähintään 20 merkkiä
28. merkki: On määritettävä arvoksi 1, jotta pakotustila voidaan ottaa käyttöön Todennus-lisävahvistusta
varten
29. merkki: On määritettävä arvoksi 1, jotta pakotustila voidaan ottaa käyttöön tilapäiselle implisiittisen omistajuuden poistamiselle
Juuri lisätyt tapahtumat
9. marraskuuta 2021 julkaistu Windows-päivitys lisää myös uusia tapahtumalokeja.
Tilanmuutostapahtumat – LDAP-lisätoimintojen todennus
Tapahtumat, jotka tapahtuvat, kun dSHeuristics-määritteen bittiä 28 muutetaan, mikä muuttaa päivityksen LDAP-lisäämistoimintojen lisätarkistusten tilaa.
|
Tapahtumaloki |
Hakemistopalvelut |
|
Tapahtumatyyppi |
Tiedottava |
|
Tapahtumatunnus |
3050 |
|
Tapahtuman teksti |
Hakemisto on määritetty valvomaan määritekohtaista valtuutusta LDAP-toimintojen aikana. Tämä on turvallisin asetus, eikä lisätoimia tarvita. |
|
Tapahtumaloki |
Hakemistopalvelut |
|
Tapahtumatyyppi |
Varoitus |
|
Tapahtumatunnus |
3051 |
|
Tapahtuman teksti |
Hakemisto on määritetty olemaan valvomatta määritteen mukaan -valtuutusta LDAP-lisäystoimintojen aikana. Varoitustapahtumat kirjataan lokiin, mutta pyyntöjä ei estetä. Tämä asetus ei ole turvallinen, ja sitä tulisi käyttää vain väliaikaisena vianmääritysvaiheena. Tutustu alla olevaan linkkiin ehdotettuihin lievennyksiin. |
|
Tapahtumaloki |
Hakemistopalvelut |
|
Tapahtumatyyppi |
Virhe |
|
Tapahtumatunnus |
3052 |
|
Tapahtuman teksti |
Hakemisto on määritetty olemaan valvomatta määritteen mukaan -valtuutusta LDAP-lisäystoimintojen aikana. Tapahtumia ei kirjata, eikä pyyntöjä estetä. Tämä asetus ei ole turvallinen, ja sitä tulisi käyttää vain väliaikaisena vianmääritysvaiheena. Tutustu alla olevaan linkkiin ehdotettuihin lievennyksiin. |
Tilanmuutostapahtumat – implisiittisten omistajan oikeuksien tilapäinen poistaminen
Tapahtumat, jotka tapahtuvat, kun dSHeuristics-määritteen bittiä 29 muutetaan, mikä muuttaa päivityksen Implisiittisen omistajan oikeudet -osan tilapäisen poiston tilaa.
|
Tapahtumaloki |
Hakemistopalvelut |
|
Tapahtumatyyppi |
Tiedottava |
|
Tapahtumatunnus |
3053 |
|
Tapahtuman teksti |
Hakemisto on määritetty estämään implisiittisen omistajan oikeudet, kun nTSecurityDescriptor-määritettä määritetään tai muokataan LDAP-toimintojen lisäämisen ja muokkaamisen aikana. Tämä on turvallisin asetus, eikä lisätoimia tarvita. |
|
Tapahtumaloki |
Hakemistopalvelut |
|
Tapahtumatyyppi |
Varoitus |
|
Tapahtumatunnus |
3054 |
|
Tapahtuman teksti |
Hakemisto on määritetty sallimaan implisiittiset omistajan oikeudet, kun nTSecurityDescriptor-määritettä määritetään tai muokataan LDAP-toimintojen lisäämisen ja muokkaamisen aikana. Varoitustapahtumat kirjataan lokiin, mutta pyyntöjä ei estetä. Tämä asetus ei ole turvallinen, ja sitä tulisi käyttää vain väliaikaisena vianmääritysvaiheena. |
|
Tapahtumaloki |
Hakemistopalvelut |
|
Tapahtumatyyppi |
Virhe |
|
Tapahtumatunnus |
3055 |
|
Tapahtuman teksti |
Hakemisto on määritetty sallimaan implisiittiset omistajan oikeudet, kun nTSecurityDescriptor-määritettä määritetään tai muokataan LDAP-toimintojen lisäämisen ja muokkaamisen aikana. Tapahtumia ei kirjata, eikä pyyntöjä estetä. Tämä asetus ei ole turvallinen, ja sitä tulisi käyttää vain väliaikaisena vianmääritysvaiheena. |
Valvontatilan tapahtumat
Valvontatilassa tapahtuvat tapahtumat, jotka kirjaavat mahdolliset suojausongelmat LDAP:n Lisää- tai Muokkaa-toiminnolla.
|
Tapahtumaloki |
Hakemistopalvelut |
|
Tapahtumatyyppi |
Varoitus |
|
Tapahtumatunnus |
3047 |
|
Tapahtuman teksti |
Hakemistopalvelu havaitsi seuraavan objektin LDAP-lisäyspyynnön, joka normaalisti olisi estetty seuraavista suojaussyistä. Asiakkaalla ei ollut oikeutta kirjoittaa yhtä tai useampaa lisäpyyntöön sisältyvää määritteitä oletusarvoisen yhdistetyn suojauskuvaimen perusteella. Pyynnön voi jatkaa, koska hakemisto on tällä hetkellä määritetty vain valvontatilaan tätä suojaustarkistusta varten. Objekti DN: <luotu objektin DN-> Objektiluokka: <luotu objektin objektiLuokan> Käyttäjä: <käyttäjä, joka yritti lisätä> Asiakkaan IP-osoite: <pyytäjän IP-osoite> Suojauksen poisto: <> |
|
Tapahtumaloki |
Hakemistopalvelut |
|
Tapahtumatyyppi |
Varoitus |
|
Tapahtumatunnus |
3048 |
|
Tapahtuman teksti |
Hakemistopalvelu havaitsi seuraavan objektin LDAP-lisäyspyynnön, joka normaalisti olisi estetty seuraavista suojaussyistä. Asiakas sisällytti nTSecurityDescriptor-määritteen lisäpyyntöön, mutta hänellä ei ollut eksplisiittistä oikeutta kirjoittaa yhtä tai useampaa osaa uudesta suojauskuvauksesta oletusarvoisen yhdistetyn suojauskuvaimen perusteella. Pyynnön voi jatkaa, koska hakemisto on tällä hetkellä määritetty vain valvontatilaan tätä suojaustarkistusta varten. Objekti DN: <luotu objektin DN-> Objektiluokka: <luotu objektin objektiLuokan> Käyttäjä: <käyttäjä, joka yritti lisätä> Asiakkaan IP-osoite: <pyytäjän IP-osoite> |
|
Tapahtumaloki |
Hakemistopalvelut |
|
Tapahtumatyyppi |
Varoitus |
|
Tapahtumatunnus |
3049 |
|
Tapahtuman teksti |
Hakemistopalvelu havaitsi seuraavan objektin LDAP-muokkauspyynnön, joka normaalisti olisi estetty seuraavista suojaussyistä. Asiakas sisällytti nTSecurityDescriptor-määritteen lisäpyyntöön, mutta hänellä ei ollut eksplisiittistä oikeutta kirjoittaa yhtä tai useampaa osaa uudesta suojauskuvauksesta oletusarvoisen yhdistetyn suojauskuvaimen perusteella. Pyynnön voi jatkaa, koska hakemisto on tällä hetkellä määritetty vain valvontatilaan tätä suojaustarkistusta varten. Objekti DN: <luotu objektin DN-> Objektiluokka: <luotu objektin objektiLuokan> Käyttäjä: <käyttäjä, joka yritti lisätä> Asiakkaan IP-osoite: <pyytäjän IP-osoite> |
|
Tapahtumaloki |
Hakemistopalvelut |
|
Tapahtumatyyppi |
Varoitus |
|
Tapahtumatunnus |
3056 |
|
Tapahtuman teksti |
Hakemistopalvelu käsitteli alla määritetyn objektin sdRightsEffective-määritteen kyselyn. Palautettu käyttöpeite sisälsi WRITE_DAC, mutta vain siksi, että hakemisto on määritetty sallimaan implisiittiset omistajan oikeudet, mikä ei ole turvallinen asetus. Objekti DN: <luotu objektin DN-> Käyttäjä: <käyttäjä, joka yritti lisätä> Asiakkaan IP-osoite: <pyytäjän IP-osoite> |
Pakotustila – LDAP-virheiden lisääminen
Tapahtumat, jotka tapahtuvat, kun LDAP-lisäystoiminto on estetty.
|
Tapahtumaloki |
Hakemistopalvelut |
|
Tapahtumatyyppi |
Varoitus |
|
Tapahtumatunnus |
3044 |
|
Tapahtuman teksti |
Hakemistopalvelu hylkäsi seuraavan objektin LDAP-lisäyspyynnön. Pyyntö hylättiin, koska asiakkaalla ei ollut oikeutta kirjoittaa yhteen tai useampaan lisäpyyntöön sisältyvää määritteitä oletusarvoisen yhdistetyn suojauskuvaimen perusteella. Objekti DN: <luotu objektin DN-> Objektiluokka: <luotu objektin objektiLuokan> Käyttäjä: <käyttäjä, joka yritti lisätä> Asiakkaan IP-osoite: <pyytäjän IP-osoite> Suojauksen poisto: <> |
|
Tapahtumaloki |
Hakemistopalvelut |
|
Tapahtumatyyppi |
Varoitus |
|
Tapahtumatunnus |
3045 |
|
Tapahtuman teksti |
Hakemistopalvelu hylkäsi seuraavan objektin LDAP-lisäyspyynnön. Pyyntö hylättiin, koska asiakas sisällytti nTSecurityDescriptor-määritteen lisäyspyyntöön, mutta hänellä ei ollut eksplisiittistä oikeutta kirjoittaa yhtä tai useampaa osaa uudesta suojauskuvauksesta oletusarvoisen yhdistetyn suojauskuvaimen perusteella. Objekti DN: <luotu objektin DN-> Objektiluokka: <luotu objektin objektiLuokan> Käyttäjä: <käyttäjä, joka yritti lisätä> Asiakkaan IP-osoite: <pyytäjän IP-osoite> |
Pakotustila – LDAP-muokkausvirheet
Tapahtumat, jotka tapahtuvat, kun LDAP-muokkaustoiminto on estetty.
|
Tapahtumaloki |
Hakemistopalvelut |
|
Tapahtumatyyppi |
Varoitus |
|
Tapahtumatunnus |
3046 |
|
Tapahtuman teksti |
Hakemistopalvelu hylkäsi seuraavan objektin LDAP-muokkauspyynnön. Pyyntö hylättiin, koska asiakas sisällytti nTSecurityDescriptor-määritteen muokkauspyyntöön, mutta hänellä ei ollut eksplisiittistä oikeutta kirjoittaa yhtä tai useampaa osaa uudesta suojauskuvauksesta objektin olemassa olevan suojauskuvaimen perusteella. Objekti DN: <luotu objektin DN-> Objektiluokka: <luotu objektin objektiLuokan> Käyttäjä: <käyttäjä, joka yritti lisätä> Asiakkaan IP-osoite: <pyytäjän IP-osoite> |
Usein kysytyt kysymykset
Q1 Mitä tapahtuu, jos minulla on active directory -toimialueen ohjauskoneiden sekoitus, joka päivitetään ja jota ei ole päivitetty?
A1 Tietokoneet, joita ei ole päivitetty, eivät kirjaa tähän haavoittuvuuteen liittyviä tapahtumia.
Q2 Mitä minun on tehtävä toimialueen ohjauskoneiden Read-Only (RODCs)?
A2 Mitään; LDAP-toimintojen lisääminen ja muokkaaminen ei voi kohdistua RODC-ohjelmiin.
Q3 Minulla on kolmannen osapuolen tuote tai prosessi, joka epäonnistuu pakotustilan käyttöönoton jälkeen. Pitääkö minun myöntää palvelun tai käyttäjän toimialueen järjestelmänvalvojan oikeudet?
A3 Emme yleensä suosittele palvelun tai käyttäjän lisäämistä Toimialueen järjestelmänvalvojat -ryhmään ensimmäisenä ratkaisuna tähän ongelmaan. Tarkista tapahtumalokeista, mitä käyttöoikeuksia vaaditaan, ja harkitse kyseisen käyttäjän käyttöoikeuksien siirtämistä erilliseen tätä tarkoitusta varten määritettyyn organisaatioyksikköön.
Q4 Näen valvontatapahtumat myös LDS-palvelimissa. Miksi näin tapahtuu?
A4Kaikki edellä mainitut koskevat myös AD LDS:iä, vaikka on hyvin epätavallista, että LDS:ssä on tietokoneobjekteja. Lievennystoimet olisi toteutettava myös, jotta AD LDS -suojaus voidaan ottaa käyttöön, kun valvontatila ei havaitse odottamattomia oikeuksia.
