Dans cet article
Résumé
Les mises à jour Windows du 8 novembre 2022 et ultérieures résolvent les faiblesses du protocole Netlogon lorsque la signature des appels de procédure distante (RPC) est utilisée au lieu du scellement RPC. Pour plus d’informations, consultez CVE-2022-38023.
L’interface d’appel de procédure distante (RPC) du protocole Netlogon est principalement utilisée pour maintenir la relation entre un appareil et son domaine, ainsi que les relations entre les contrôleurs de domaine et les domaines.
Cette mise à jour protège les appareils Windows contre CVE-2022-38023 par défaut. Pour les clients tiers et les contrôleurs de domaine tiers, la mise à jour est en mode de compatibilité par défaut et autorise les connexions vulnérables à partir de ces clients. Reportez-vous à la section Paramètres de clé de Registre pour connaître les étapes à suivre pour passer au mode de mise en conformité.
Pour sécuriser votre environnement, installez la mise à jour Windows datée du 8 novembre 2022 ou une mise à jour Windows ultérieure sur tous les appareils, y compris les contrôleurs de domaine.
Important À compter d’avril 2023, le mode d’application sera activé sur tous les contrôleurs de domaine Windows et bloquera les connexions vulnérables des appareils non conformes. À ce stade, vous ne pourrez pas désactiver la mise à jour, mais vous pouvez revenir au paramètre Mode de compatibilité. Le mode de compatibilité sera supprimé en juillet 2023, comme indiqué dans la section Calendrier des mises à jour visant à corriger la vulnérabilité Netlogon CVE-2022-38023.
Minutage des mises à jour pour traiter CVE-2022-38023
Les mises à jour seront publiées par différentes phases : la phase initiale des mises à jour publiées le 8 novembre 2022 ou après et la phase de mise en œuvre pour les mises à jour publiées le ou après le 11 avril 2023.
La phase de déploiement initiale commence par la mise à jour Windows publiée le 8 décembre 2022 et se poursuit par des mises à jour Windows ultérieure pour la phase de mise en conformité. Les mises à jour Windows à partir du 8 novembre 2022 résolvent la vulnérabilité de contournement de sécurité CVE-2022-38023 en appliquant le scellement RPC à tous les clients Windows.
Par défaut, les appareils sont définis en mode de compatibilité. Les contrôleurs de domaine Windows nécessitent que les clients Netlogon utilisent le sceau RPC s’ils exécutent Windows, ou s’ils agissent en tant que contrôleurs de domaine ou en tant que comptes d’approbation.
Les mises à jour Windows publiées le ou après le 11 avril 2023 suppriment la possibilité de désactiver le scellement RPC en définissant la valeur 0 sur RequireSeal.
RequireSeal est déplacé en mode Appliqué, sauf si les administrateurs configurent explicitement pour qu’il soit en mode de compatibilité. Les connexions vulnérables de tous les clients, y compris les tiers, se verront refuser l’authentification.
Les mises à jour Windows publiées le 11 juillet 2023 suppriment la possibilité de définir la valeur 1 sur la sous-clé RequireSeal. Cela active la phase de mise en application de CVE-2022-38023.
Paramètres de la clé de Registre
Après l’installation des mises à jour Windows datées du 8 novembre 2022 ou après, la clé de registre suivante est disponible pour le protocole Netlogon sur les contrôleurs de domaine Windows :
RequireSeal
|
Clé de Registre |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
Valeur |
RequireSeal |
|
Type de données |
REG_DWORD |
|
Données |
0 – Désactivé 1 – Mode de compatibilité Les contrôleurs de domaine Windows exigeront que les clients Netlogon utilisent le sceau RPC s’ils exécutent Windows, ou s’ils agissent en tant que contrôleurs de domaine ou comptes de confiance. 2 - Mode de mise en conformité Tous les clients doivent utiliser RPC Seal, sauf s’ils sont ajoutés à l’objet de stratégie de groupe (GPO) « Contrôleur de domaine : Autoriser les connexions vulnérables du canal sécurisé Netlogon » (objet de stratégie de groupe (GPO)). |
|
Le redémarrage est-il nécessaire ? |
Non |
Événements Windows liés à CVE-2022-38023
|
Journal des événements |
Système |
|
Type d’événement |
Error |
|
Source de l’événement |
NETLOGON |
|
ID d’événement |
5838 |
|
Texte de l’événement |
Le service Netlogon a rencontré un client utilisant la signature RPC au lieu du scellement RPC. |
Si vous trouvez ce message d’erreur dans vos journaux d’événements, vous devez prendre les mesures suivantes pour résoudre l’erreur système :
-
Vérifiez que l’appareil exécute une version prise en charge de Windows.
-
Vérifiez que tous les appareils sont à jour.
-
Vérifiez que membre de domaine : Membre de domaine Chiffrer ou signer numériquement les données du canal sécurisé (toujours) est défini sur Activé.
|
Journal des événements |
Système |
|
Type d’événement |
Error |
|
Source de l’événement |
NETLOGON |
|
ID d’événement |
5839 |
|
Texte de l’événement |
Le service Netlogon a rencontré une confiance utilisant la signature RPC au lieu du scellement RPC. |
|
Journal des événements |
Système |
|
Type d’événement |
Avertissement |
|
Source de l’événement |
NETLOGON |
|
ID d’événement |
5840 |
|
Texte de l’événement |
Le service Netlogon a créé un canal sécurisé avec un client avec RC4. |
Si vous trouvez l’événement 5840, c’est un signe qu’un client de votre domaine utilise une cryptographie faible.
|
Journal des événements |
Système |
|
Type d’événement |
Error |
|
Source de l’événement |
NETLOGON |
|
ID d’événement |
5841 |
|
Texte de l’événement |
Le service Netlogon a refusé un client utilisant RC4 en raison du paramètre ’RejectMd5Clients’. |
Si vous trouvez l’événement 5841, cela indique que la valeur RejectMD5Clients est définie sur TRUE.
La clé RejectMD5Clients est une clé préexistante dans le service Netlogon. Pour plus d’informations, consultez la description rejectMD5Clients du modèle de données abstrait.
Forum aux questions (FAQ)
Tous les comptes machine liés à un domaine sont concernés par cette CVE. Les événements montreront qui est le plus touché par ce problème après l’installation des mises à jour Windows du 8 novembre 2022 ou d’une version ultérieure. Veuillez consulter la section des erreurs du journal des événements pour résoudre les problèmes.
Pour aider à détecter les clients plus anciens qui n’utilisent pas la cryptographie la plus puissante disponible, cette mise à jour introduit des journaux d’événements pour les clients qui utilisent RC4.
On parle de signature RPC lorsque le protocole Netlogon utilise RPC pour signer les messages qu’il envoie par câble. On parle de scellement RPC lorsque le protocole Netlogon signe et crypte les messages qu’il envoie par câble.
Glossaire
Advanced Encryption Standard (AES) est un chiffrement par blocs qui remplace data encryption Standard (DES). AES peut être utilisé pour protéger les données électroniques. L’algorithme AES peut être utilisé pour chiffrer (déchiffrer) et déchiffrer (déchiffrer) des informations. Le chiffrement convertit les données en une forme inintelligible appelée texte chiffré ; le déchiffrement du texte chiffré reconvertit les données dans leur forme originale, appelée texte en clair. AES est utilisé en chiffrement par clé symétrique, ce qui signifie que la même clé est utilisée pour les opérations de cryptage et de décryptage. Il s’agit également d’un chiffrement par blocs, ce qui signifie qu’il fonctionne sur des blocs de texte en clair et de texte chiffré de taille fixe, et que la taille du texte en clair et du texte chiffré doit être un multiple exact de la taille de ces blocs. AES est également connu sous le nom d’algorithme de chiffrement symétrique Rijndael [FIPS197] .
Dans un environnement de sécurité réseau compatible avec le système d’exploitation Windows NT, le composant responsable de la synchronisation et de la maintenance fonctionne entre un contrôleur de domaine principal (PDC) et des contrôleurs de domaine de sauvegarde (BDC). Netlogon est un précurseur du protocole de serveur de duplication d’annuaire (DRS). L’interface d’appel de procédure distante du protocole Netlogon est principalement utilisée pour maintenir la relation entre un appareil et son domaine, ainsi que les relationsentre les contrôleurs de domaine (DC) et les domaines. Pour plus d’informations, consultez Netlogon Remote Protocol.
RC4-HMAC (RC4) est un algorithme de chiffrement symétrique de longueur de clé variable. Pour plus d’informations, consultez [SCHNEIER] section 17.1.
Une connexion d’appel de procédure distante (RPC) authentifiée entre deux machines d’un domaine avec un contexte de sécurité établi utilisé pour la signature et le chiffrement des paquets RPC.
