KB5021130 : Comment gérer les modifications du protocole Netlogon liées à CVE-2022-38023

La phase de déploiement initiale commence par la mise à jour Windows publiée le 8 décembre 2022 et se poursuit par des mises à jour Windows ultérieure pour la phase de mise en conformité. Les mises à jour Windows à partir du 8 novembre 2022 résolvent la vulnérabilité de contournement de sécurité CVE-2022-38023 en appliquant le scellement RPC à tous les clients Windows.

Par défaut, les appareils sont définis en mode de compatibilité. Les contrôleurs de domaine Windows nécessitent que les clients Netlogon utilisent le sceau RPC s’ils exécutent Windows, ou s’ils agissent en tant que contrôleurs de domaine ou en tant que comptes d’approbation.

Les mises à jour Windows publiées le ou après le 11 avril 2023 suppriment la possibilité de désactiver le scellement RPC en définissant la valeur 0 sur la sous-clé de registre RequireSeal.

La sous-clé de registre RequireSeal est déplacée en mode Appliqué, sauf si les administrateurs la configurent explicitement pour qu’elle soit en mode de compatibilité. Les connexions vulnérables de tous les clients, y compris les tiers, se verront refuser l’authentification. Voir la Modification 1.

Les mises à jour Windows publiées le 11 juillet 2023 suppriment la possibilité de définir la valeur 1 sur la sous-clé de registre RequireSeal. Cela active la phase de mise en œuvre de CVE-2022-38023.

Si vous trouvez ce message d’erreur dans vos journaux d’événements, vous devez prendre les mesures suivantes pour résoudre l’erreur système :

• Vérifiez que l’appareil exécute une version prise en charge de Windows.

• Vérifiez que tous les appareils sont à jour.

• Vérifiez que Membre de domaine : chiffrer ou signer numériquement les données des canaux sécurisés (toujours) est défini sur Activé.

Si vous trouvez l’événement 5840, c’est un signe qu’un client de votre domaine utilise une cryptographie faible.

Si vous trouvez l’événement 5841, cela indique que la valeur RejectMD5Clients est définie sur TRUE.

La clé RejectMD5Clients est une clé préexistante dans le service Netlogon. Pour plus d’informations, consultez la description rejectMD5Clients du modèle de données abstrait.

Tous les comptes machine liés à un domaine sont concernés par cette CVE. Les événements montreront qui est le plus touché par ce problème après l’installation des mises à jour Windows du 8 novembre 2022 ou d’une version ultérieure. Veuillez consulter la section des erreurs du journal des événements pour résoudre les problèmes.

Pour aider à détecter les clients plus anciens qui n’utilisent pas la cryptographie la plus puissante disponible, cette mise à jour introduit des journaux d’événements pour les clients qui utilisent RC4.

On parle de signature RPC lorsque le protocole Netlogon utilise RPC pour signer les messages qu’il envoie par câble. On parle de scellement RPC lorsque le protocole Netlogon signe et crypte les messages qu’il envoie par câble.

Le contrôleur de domaine Windows détermine si un client Netlogon exécute Windows en interrogeant l’attribut « OperatingSystem » dans Active Directory pour le client Netlogon et en recherchant les chaînes suivantes :

• « Windows », « Hyper-V Server » et « Azure Stack HCI »

Nous ne recommandons ni ne prenons en charge la modification de cet attribut par les clients Netlogon ou les administrateurs de domaine en une valeur qui n’est pas représentative du système d’exploitation que le client Netlogon exécute. Vous devez savoir que nous pouvons modifier les critères de recherche à tout moment. Voir la Modification 3.

La phase de mise en conformité ne rejette pas les clients Netlogon en fonction du type de chiffrement utilisé par les clients. Elle rejette uniquement les clients Netlogon s’ils effectuent une signature RPC au lieu d’un scellement RPC. Le rejet des clients Netlogon RC4 est basé sur la clé de registre « RejectMd5Clients » disponible pour les contrôleurs de domaine Windows Server 2008 R2 et versions ultérieures. La phase de mise en conformité de cette mise à jour ne modifie pas la valeur « RejectMd5Clients ». Nous recommandons aux clients d’activer la valeur « RejectMd5Clients » pour élever la sécurité dans leurs domaines. Voir la Modification 3.

Advanced Encryption Standard (AES) est un chiffrement par blocs qui remplace data encryption Standard (DES). AES peut être utilisé pour protéger les données électroniques. L’algorithme AES peut être utilisé pour chiffrer (déchiffrer) et déchiffrer (déchiffrer) des informations. Le chiffrement convertit les données en une forme inintelligible appelée texte chiffré ; le déchiffrement du texte chiffré reconvertit les données dans leur forme originale, appelée texte en clair. AES est utilisé en chiffrement par clé symétrique, ce qui signifie que la même clé est utilisée pour les opérations de cryptage et de décryptage. Il s’agit également d’un chiffrement par blocs, ce qui signifie qu’il fonctionne sur des blocs de texte en clair et de texte chiffré de taille fixe, et que la taille du texte en clair et du texte chiffré doit être un multiple exact de la taille de ces blocs. AES est également connu sous le nom d’algorithme de chiffrement symétrique Rijndael [FIPS197] .

Dans un environnement de sécurité réseau compatible avec le système d’exploitation Windows NT, le composant responsable de la synchronisation et de la maintenance fonctionne entre un contrôleur de domaine principal (PDC) et des contrôleurs de domaine de sauvegarde (BDC). Netlogon est un précurseur du protocole de serveur de duplication d’annuaire (DRS). L’interface d’appel de procédure distante (RPC) du protocole Netlogon est principalement utilisée pour maintenir la relation entre un appareil et son domaine, ainsi que les relationsentre les contrôleurs de domaine (DC) et les domaines. Pour plus d’informations, consultez Protocole distant Netlogon.

RC4-HMAC (RC4) est un algorithme de chiffrement symétrique de longueur de clé variable. Pour plus d’informations, consultez [SCHNEIER] section 17.1.

Une connexion d’appel de procédure distante (RPC) authentifiée entre deux machines d’un domaine avec un contexte de sécurité établi utilisé pour la signature et le chiffrement des paquets RPC.