MISE À JOUR : 12/07/2022
Résumé
CVE-2021-42287 concerne une vulnérabilité de contournement de la sécurité qui touche le certificat PAC (Privilege Attribute Certificate) Kerberos et qui permet aux utilisateurs malveillants potentiels d’usurper l’identité des contrôleurs de domaine. Pour que cette vulnérabilité puisse être exploitée, un compte de domaine piraté peut entraîner la création d’un ticket de service par le Centre de distribution de clés (KDC) avec un niveau de privilèges supérieur à celui du compte piraté. Pour ce faire, il empêche le KDC d’identifier le compte de destination du ticket de service avec les privilèges les plus élevés.
Le processus d’authentification amélioré dans CVE-2021-42287 ajoute de nouvelles informations sur le demandeur d’origine aux certificats PAC des tickets TGT (Ticket-Granting Tickets) de Kerberos. Plus tard, quand un ticket de service Kerberos est généré pour un compte, le nouveau processus d’authentification vérifie que le compte qui a demandé le ticket TGT est le même que celui référencé dans le ticket de service.
Après l’installation des mises à jour Windows du 9 novembre 2021 ou ultérieures, les certificats PAC sont ajoutés au ticket TGT de tous les comptes de domaine, même ceux qui ont précédemment choisi de refuser les certificats PAC.
Procédure à suivre
Pour protéger votre environnement et éviter les pannes, effectuez les étapes ci-dessous :
-
Mettez à jour tous les appareils qui hébergent le rôle Contrôleur de domaine Active Directory en installant la mise à jour de sécurité Windows du 9 novembre 2021 et la mise à jour hors cycle (OOB) du 14 novembre 2021. Trouvez ci-dessous le numéro de BC OOB correspondant à votre système d’exploitation spécifique.
Système d’exploitation
N° d’article
Windows Server 2016
Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
-
Après l’installation de la mise à jour du 9 novembre 2021 et la mise à jour OOB du 14 novembre 2021 sur tous les contrôleurs de domaine Active Directory pendant au moins 7 jours, il est vivement recommandé d’activer le mode de mise en conformité sur tous ces contrôleurs de domaine.
-
À partir de la mise à jour de la phase de mise en conformité du 11 octobre 2022 (mise à jour), le mode de mise en conformité sera activé sur tous les contrôleurs de domaine Windows et sera obligatoire.
Calendrier des mises à jour Windows
Ces mises à jour Windows seront publiées en trois phases :
-
Déploiement initial : introduction de la mise à jour, ainsi que de la clé de Registre PacRequestorEnforcement.
-
Deuxième phase : suppression de la valeur 0 pour PacRequestorEnforcement (possibilité de désactiver la clé de Registre).
-
Phase de mise en conformité : le mode de mise en conformité est activé. Suppression de la clé de Registre PacRequestorEnforcement.
9 novembre 2021 : phase de déploiement initial
La phase de déploiement initial commence par la mise à jour Windows publiée le 9 novembre 2021. Cette version :
-
Ajoute des protections contre la vulnérabilité CVE-2021-42287
-
Ajoute la prise en charge de la valeur de Registre PacRequestorEnforcement, qui permet de passer à la phase de mise en conformité de manière anticipée
L’atténuation consiste à installer les mises à jour Windows sur tous les appareils qui hébergent le rôle Contrôleur de domaine et les contrôleurs de domaine en lecture seule (RODC).
12 juillet 2022 (mis à jour) : deuxième phase de déploiement
La deuxième phase de déploiement commence par la mise à jour Windows publiée le 12 juillet 2022. Cette phase supprime le paramètre 0 de PacRequestorEnforcement. Définir PacRequestorEnforcement sur 0 après l’installation de cette mise à jour aura le même effet que définir PacRequestorEnforcement sur 1. Les contrôleurs de domaine (DC) seront en mode de déploiement.
RemarqueCette phase n’est pas nécessaire si PacRequestorEnforcement n’a jamais été défini sur 0 dans votre environnement. Cette phase permet de garantir que les utilisateurs qui ont défini PacRequestorEnforcement sur 0 passent au paramètre 1 avant la phase de mise en conformité.
Remarque Cette mise à jour part du principe que tous les contrôleurs de domaine sont mis à jour avec la mise à jour Windows du 9 novembre 2021 ou d’une mise à jour ultérieure.
11 octobre 2022 (mis à jour) : phase de mise en conformité
La publication du 11 octobre 2022 fera passer tous les contrôleurs de domaine Active Directory à la phase de mise en conformité. La phase de mise en conformité supprimera également définitivement la clé de Registre PacRequestorEnforcement. Par conséquent, les contrôleurs de domaine Windows sur lesquels la mise à jour du 11 octobre 2022 sera installée ne seront plus compatibles avec :
-
Les contrôleurs de domaine sur lesquels les mises à jour du 9 novembre 2021 ou les mises à jour ultérieures n’ont pas été installées.
-
Les contrôleurs de domaine sur lesquels les mises à jour du 9 novembre 2021 ou les mises à jour ultérieures ont été installées, mais sur lesquels la mise à jour du 12 juillet 2022 n’a pas encore été installée ET sur lesquels la valeur de Registre PacRequestorEnforcement est égale à 0.
Toutefois, les contrôleurs de domaine Windows sur lesquels la mise à jour du 11 octobre 2022 est installée resteront compatibles avec :
-
Les contrôleurs de domaine Windows sur lesquels la mise à jour du 11 octobre 2022 ou ultérieure est installée
-
Les contrôleurs de domaine Windows sur lesquels les mises à jour du 9 novembre 2021 ou ultérieures ont été installées et sur lesquels la valeur de PacRequestorEnforcement est égale à 1 ou 2
Informations sur la clé de Registre
Après l’installation des protections contre CVE-2021-42287 dans les mises à jour Windows publiées entre le 9 novembre 2021 et le 14 juin 2022, la clé de Registre suivante sera disponible :
Sous-clé de Registre |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Valeur |
PacRequestorEnforcement |
Type de données |
REG_DWORD |
Données |
1 : ajoute le nouveau certificat PAC aux utilisateurs qui se sont authentifiés à l’aide d’un contrôleur de domaine Active Directory sur lesquels les mises à jour du 9 novembre 2021 ou ultérieures sont installées. Lors de l’authentification, si l’utilisateur possède le nouveau certificat PAC, ce dernier est validé. Si l’utilisateur n’a pas le nouveau certificat PAC, aucune action supplémentaire n’est prise. Dans ce mode, les contrôleurs de domaine Active Directory sont en phase de déploiement. 2 : ajoute le nouveau certificat PAC aux utilisateurs qui se sont authentifiés à l’aide d’un contrôleur de domaine Active Directory sur lesquels les mises à jour du 9 novembre 2021 ou ultérieures sont installées. Lors de l’authentification, si l’utilisateur possède le nouveau certificat PAC, ce dernier est validé. Si l’utilisateur n’a pas le nouveau certificat PAC, l’authentification est refusée. Dans ce mode, les contrôleurs de domaine Active Directory sont en phase de mise en conformité. 0 : désactive la clé de Registre. Paramètre non recommandé. Dans ce mode, les contrôleurs de domaine Active Directory sont en phase de désactivation. Cette valeur n’existera plus après les mises à jour du 12 juillet 2022 ou ultérieures. Important Le paramètre 0 n’est pas compatible avec le paramètre 2. Des échecs intermittents peuvent se produire si les deux paramètres sont utilisés dans une forêt. Si le paramètre 0 est utilisé, il est recommandé de passer du paramètre 0 (désactivation) au paramètre 1 (déploiement) pendant au moins une semaine avant de passer au paramètre 2 (mode de mise en conformité). |
Valeur par défaut |
1 (si la clé de Registre n’est pas définie) |
Redémarrage nécessaire ? |
Non |
Audit des événements
La mise à jour Windows du 9 novembre 2021 ajoute également de nouveaux journaux des événements.
Certificat PAC sans attributs
Le KDC rencontre un ticket TGT sans la mémoire tampon d’attributs PAC. Il est probable que l’autre KDC dans les journaux ne contienne pas la mise à jour ou soit en mode Désactivé.
Journal des événements |
Système |
Type d’événement |
Avertissement |
Source de l’événement |
Kdcsvc |
ID d’événement |
35 |
Texte de l’événement |
Le Centre de distribution de clés (KDC) a rencontré un ticket TGT (Ticket-Granting Ticket) provenant d’un autre KDC (« <KDC Name> ») qui ne contenait pas de champ d’attributs PAC. |
Ticket sans certificat PAC
Le KDC rencontre un ticket TGT ou un autre ticket de preuve sans certificat PAC. Cela empêche le KDC d’appliquer les vérifications de sécurité sur le ticket.
Journal des événements |
Système |
Type d’événement |
Avertissement pendant la phase de déploiement Erreur pendant la phase de mise en conformité |
Source de l’événement |
Kdcsvc |
ID d’événement |
36 |
Texte de l’événement |
Le Centre de distribution de clés (KDC) a rencontré un ticket qui ne contenait pas de certificat PAC lors du traitement d’une requête d’un autre ticket. Cela empêchait l’exécution des vérifications de sécurité et pouvait ouvrir des failles de sécurité. Client : <Domain Name>\<User Name> Ticket pour : <Service Name> |
Ticket sans demandeur
Le KDC rencontre un ticket TGT ou un autre ticket de preuve sans tampon de demandeur PAC. Il est probable que le KDC qui a construit le certificat PAC ne contienne pas la mise à jour ou soit en mode Désactivé.
RemarqueConsultez la section Problèmes connus pour obtenir des informations importantes sur l’événement 37.
Journal des événements |
Système |
Type d’événement |
Avertissement pendant la phase de déploiement Erreur pendant la phase de mise en conformité |
Source de l’événement |
Kdcsvc |
ID d’événement |
37 |
Texte de l’événement |
Le Centre de distribution de clés (KDC) a rencontré un ticket qui ne contenait pas d’informations sur le compte qui a demandé le ticket lors du traitement d’une requête d’un autre ticket. Cela empêchait l’exécution des vérifications de sécurité et pouvait ouvrir des failles de sécurité. Certificat PAC du ticket construit par : <KDC Name> Client : <Domain Name>\<Client Name> Ticket pour : <Service Name> |
Non-concordance du demandeur
Le KDC rencontre un ticket TGT ou un autre ticket de preuve, et le compte qui a demandé le ticket TGT ou le ticket de preuve ne correspond pas à celui pour lequel le ticket de service est créé.
Journal des événements |
Système |
Type d’événement |
Erreur |
Source de l’événement |
Kdcsvc |
ID d’événement |
38 |
Texte de l’événement |
Le Centre de distribution de clés (KDC) a rencontré un ticket qui contenaient des informations incohérentes sur le compte qui a demandé le ticket. Le compte pourrait avoir été renommé depuis l’émission du ticket, ce qui peut faire partie d’une tentative d’exploitation. Certificat PAC du ticket construit par : <Kdc Name> Client : <Domain Name>\<User Name> Ticket pour : <Service Name> SID du compte demandeur d’Active Directory : <SID> SID du compte demandeur du ticket : <SID> |
Problèmes connus
Symptôme |
Solution de contournement |
---|---|
Après avoir installé les mises à jour Windows publiées le 9 novembre 2021 ou plus tard sur les contrôleurs de domaine (DC), certains clients peuvent voir le nouvel ID d’événement d’audit 37 enregistré après certains paramètres de mot de passe ou des opérations de modification telles que :
Si vous ne voyez pas l’ID d’événement 37 après avoir installé les mises à jour Windows publiées le 9 novembre 2021 ou plus tard pendant une semaine et que PacRequestorEnforcement est ‘1‘ ou ‘2’, alors votre environnement n’est pas affecté. Si vous définissez PacRequestorEnforcement = 1, l’ID d’événement 37 est enregistré comme un avertissement, mais les demandes de changement de mot de passe réussiront et n’affecteront pas les utilisateurs. Si vous définissez PacRequestorEnforcement = 2, les demandes de changement de mot de passe échoueront et entraîneront également l’échec des opérations énumérées ci-dessus. |
Ce problème a été résolu dans les mises à jour suivantes :
|
Forum aux questions
Q1 Que se passe-t-il si j’ai un mélange de contrôleurs de domaine Active Directory qui sont mis à jour et non mis à jour ?
R1. Dans le cas d’un mélange de contrôleurs de domaine qui sont mis à jour et non mis à jour, mais dont la clé de Registre PacRequestorEnforcement a la valeur par défaut 1, tous ces contrôleurs sont compatibles entre eux. Il est toutefois vivement recommandé d’utiliser des contrôleurs de domaine mis à jour et non mis à jour dans un environnement.
Q2 Que se passe-t-il si j’ai un mélange de contrôleurs de domaine Active Directory qui possèdent différentes valeurs PacRequestorEnforcement ?
R2. Dans le cas d’un mélange de contrôleurs de domaine dont les valeurs PacRequestorEnforcement sont égales à 0 et 1, tous ces contrôleurs sont compatibles entre eux. Dans le cas d’un mélange de contrôleurs de domaine dont les valeurs PacRequestorEnforcement sont égales à 1 et 2, tous ces contrôleurs sont compatibles entre eux. Dans le cas d’un mélange de contrôleurs de domaine dont les valeurs PacRequestorEnforcement sont égales à 0 et 2, tous ces contrôleurs sont compatibles entre eux, mais des échecs intermittents peuvent se produire. Pour plus d’informations, consultez la section Informations sur la clé de Registre.