Résumé
Microsoft a publié une mise à jour Windows pour résoudre une vulnérabilité d’attaque par relecture de jeton dans Services ADFS (AD FS), comme décrit dans CVE-2023-35348. Cette mise à jour est installée par les mises à jour Windows publiées le 11 juillet 2023 ou ultérieurement. Par défaut, cette mise à jour est installée désactivée. Pour activer la mise à jour, vous devez configurer le paramètre EnforceNonceInJWT .
Informations supplémentaires
Cette mise à jour introduit un nouveau paramètre pour activer la validation de Nonce à partir de l’assertion JWT (JSON Web Token) pendant l’authentification utilisateur JWT.
Cet article explique comment activer le paramètre et fournit des détails sur les événements enregistrés sur les serveurs AD FS pour les valeurs prises en charge du paramètre.
Paramètre EnforceNonceInJWT
EnforceNonceInJWT peut être configuré par un administrateur sur un serveur ADFS pour s’exécuter dans l’un des modes suivants :
-
Aucun (valeur par défaut) : permet de déterminer si la valeur du paramètre EnforceNonceInJWT a été modifiée. Cette valeur peut ne pas être définie par un administrateur. Le serveur ADFS valide le nonce uniquement lorsqu’il est présent dans l’assertion JWT, mais n’applique pas sa présence.
-
Handicapés: Cette valeur peut être définie afin de désactiver le correctif, en cas de problèmes rencontrés avec la valeur par défaut ou après l’activation de celle-ci.
-
Activé: Active le paramètre EnforceNonceInJWT . Le serveur ADFS applique que Nonce est présent dans l’assertion JWT et qu’il est également valide lorsque certaines conditions sont remplies.
Les modes EnforceNonceInJWT peuvent être modifiés par un administrateur sur un serveur AD FS à l’aide des commandes PowerShell suivantes :
-
Activer EnforceNonceInJWT : Set-AdfsProperties -EnforceNonceInJWT enabled
-
Désactiver EnforceNonceInJWT : Set-AdfsProperties -EnforceNonceInJWT Disabled
-
Vérifiez la status du paramètre EnforceNonceInJWT :
Un administrateur peut exécuter Get-AdfsProperties pour case activée le paramètre EnforceNonceInJWT actuel. La valeur EnforceNonceInJWT retournée correspond au mode configuré.
Événements enregistrés
Les événements suivants peuvent être enregistrés sur un serveur AD FS après l’installation des mises à jour Windows publiées le 11 juillet 2023 :
Remarque L’événement 187 est enregistré chaque fois que le serveur AD FS reçoit une requête ne contenant pas Nonce dans l’assertion JWT et que EnforceNonceInJWT est défini sur None ou Disabled.
Source : AD FS
Niveau : Avertissement
ID : 187
Message: Le serveur AD FS a reçu un jeton JWT sans valeur nonce dans l’assertion et il a été accepté en fonction du paramètre de configuration actuel de EnforceNonceInJWT. Toutefois, il indique une relecture potentielle du jeton JWT par un client malveillant ou la possibilité que le client ne soit pas corrigé avec la dernière Mises à jour Windows. Veillez à mettre à jour le paramètre EnforceNonceInJWT pour rejeter tous ces jetons JWT après avoir mis à jour les clients avec la dernière Mises à jour Windows. Pour plus d’informations à ce sujet, consultez https://go.microsoft.com/fwlink/?linkid=2238156.
Remarque L’événement 188 est journalisé avec chaque service AD FS qui démarre lorsque EnforceNonceInJWT est défini sur Aucun ou Désactivé.
Source : AD FS
Niveau : Error
ID : 188
Message: Le serveur AD FS n’est pas configuré pour rejeter les jetons JWT qui n’avaient pas de valeur nonce dans l’assertion. Le paramètre correspondant (EnforceNonceInJWT) doit être activé pour des raisons de sécurité après s’être assuré que tous les clients sont corrigés avec la dernière Mises à jour Windows. L’événement 187 indique les instances où AD FS a reçu ces jetons et accepté en raison du paramètre actuel de EnforceNonceInJWT. Pour plus d’informations à ce sujet, consultez https://go.microsoft.com/fwlink/?linkid=2238156.
Procédure à suivre
Installez les mises à jour Windows publiées à partir du 11 juillet 2023 sur tous les serveurs AD FS de la batterie. Ensuite, activez le paramètre en exécutant la commande PowerShell suivante sur le serveur AD FS principal de la batterie :
Set-AdfsProperties -EnforceNonceInJWT activé
Important Vous pouvez voir des échecs d’authentification dans certains scénarios lorsque des clients ne sont pas mis à jour et envoient des demandes d’authentification JWT au serveur AD FS. Dans ce cas, nous vous recommandons de mettre à jour tous les clients en installant la mise à jour Windows publiée à partir du 11 juillet 2023. Un administrateur peut également désactiver le paramètre EnforceNonceInJWT et surveiller les serveurs AD FS pour la journalisation de l’événement 187 afin d’identifier les demandes potentielles qui pourraient être rejetées lorsque EnforceNonceInJWT est défini sur Activé. Après avoir confirmé l’absence de l’événement 187 sur les serveurs AD FS pendant une période définie, le paramètre EnforceNonceInJWT doit être mis à jour sur Activé.