2020 LDAP channel binding and LDAP signing requirement for Windows (en anglais uniquement)

S’applique à : Windows 10, version 1909, all editionsWindows 10, version 1903, all editionsWindows 10, version 1809, all editions

Résumé


La liaison de canaux LDAP et la signature LDAP permettent de renforcer la sécurité des communications réseau entre les services AD DS (Active Directory Domain Services) ou AD LDS (Active Directory Lightweight Directory Services) et leurs clients. La configuration par défaut de la liaison de canaux LDAP (Lightweight Directory Access Protocol) et de la signature LDAP comporte une vulnérabilité susceptible d'exposer les contrôleurs de domaine Active Directory à des vulnérabilités d'élévation de privilèges.  L'avis de sécurité Microsoft ADV190023 aborde ce problème et recommande aux administrateurs d'activer la liaison de canaux LDAP et la signature LDAP sur les contrôleurs de domaine Active Directory. Ce renforcement doit être mis en place manuellement jusqu'à la publication de la mise à jour de sécurité qui activera ces paramètres par défaut. 

Microsoft envisage de publier une mise à jour de sécurité sur Windows Update pour activer les modifications du renforcement de la liaison de canaux LDAP et de la signature LDAP. Cette mise à jour devrait être disponible en mars 2020.

Pourquoi cette modification est-elle nécessaire ?


Microsoft recommande aux administrateurs d'appliquer les modifications de renforcement décrites dans l'avis ADV190023, car, en cas d'utilisation des paramètres par défaut, il existe une vulnérabilité d'élévation de privilèges dans Microsoft Windows. Cette vulnérabilité pourrait permettre une attaque de l'intercepteur susceptible de transmettre une demande d'authentification à un serveur Windows LDAP, tel qu'un système exécutant des services AD DS ou AD LDS, qui n'a pas été configuré pour nécessiter la signature ou le scellement des connexions entrantes.  La sécurité d'un serveur d'annuaire peut être considérablement améliorée en le configurant pour qu'il rejette les liaisons LDAP SASL (Simple Authentication and Security Layer) qui ne demandent pas de signature (vérification d'intégrité) ou pour qu'il rejette les liaisons LDAP simples effectuées sur une connexion avec texte en clair (non chiffrée via SSL/TLS). Les SASL peuvent inclure des protocoles tels que Negotiate, Kerberos, NTLM et Digest. Si le trafic réseau n'est pas signé, il est exposé à des attaques par relecture, où le pirate intercepte la tentative d'authentification et l'émission d'un ticket. Le pirate peut réutiliser le ticket pour usurper l'identité de l'utilisateur légitime. En outre, si le trafic réseau n'est pas signé, il est exposé à des attaques de l'intercepteur (man-in-the-middle attacks), où le pirate intercepte des paquets entre le client et le serveur, les modifie, puis les transfère au serveur. Si ce problème se produit sur un serveur LDAP, l'attaquant peut obliger le serveur à prendre des décisions basées sur des requêtes contrefaites provenant du client LDAP.

Actions recommandées


Microsoft recommande vivement aux administrateurs d'activer la liaison de canaux LDAP et la signature LDAP d'ici mars 2020, afin de pouvoir rechercher et corriger tous les problèmes de compatibilité identifiés dans les systèmes d'exploitation, les applications ou les périphériques intermédiaires de leur environnement.  Quand ils détectent un problème de compatibilité, les administrateurs doivent contacter le fabricant du système d'exploitation, de l'application ou du périphérique concerné pour obtenir de l'aide.

Important Toute version de système d'exploitation, toute application ou tout périphérique intermédiaire qui effectue une inspection visant à détecter une attaque de l'intercepteur du trafic LDAP sont les plus susceptibles d'être touchés par cette mesure de renforcement.

Calendrier des mises à jour de sécurité


Microsoft a établi le calendrier suivant pour l'activation de la prise en charge de la liaison de canaux LDAP et de la signature LDAP. Veuillez noter que l'échéancier ci-dessous est sujet à modifications. Nous mettrons à jour cette page au fur et à mesure du processus, et selon le besoin.

Date cible

Événement

Produits concernés

mardi 13 août 2019

Passez à l'action : Avis de sécurité Microsoft ADV190023 publié pour introduire la prise en charge de la liaison de canaux LDAP et de la signature LDAP. Les administrateurs doivent tester ces paramètres dans leur environnement après les avoir appliqués manuellement sur leurs serveurs.

Windows Server 2008 SP2,
Windows 7 SP1,

Windows Server 2008 R2 SP1, 
Windows Server 2012,

Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019,

Windows 10 1903,
Windows 10 1909

Mars 2020

Obligatoire : Mise à jour de sécurité disponible sur Windows Update pour toutes les plates-formes Windows prises en charge pour activer par défaut la liaison de canaux LDAP et la signature LDAP sur les serveurs Active Directory.

Windows Server 2008 SP2,
Windows 7 SP1,

Windows Server 2008 R2 SP1,
Windows Server 2012,

Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019,

Windows 10 1903,
Windows 10 1909