עודכן ב- 20/03/2024 – הפניות LDS שנוספו
סיכום
CVE-2021-42291 מטפל בפגיעות של עקיפת אבטחה המאפשרת למשתמשים מסוימים להגדיר ערכים שרירותיים בתכונות תלויות אבטחה של אובייקטים ספציפיים המאוחסנים ב- Active Directory (AD) או ב- Lightweight Directory Service (LDS). כדי לנצל פגיעות זו, דרושות למשתמש הרשאות מספיקות כדי ליצור אובייקט נגזר של מחשב, כגון שמשתמש העניק הרשאות CreateChild לאובייקטי מחשב. משתמש זה יכול ליצור חשבון מחשב באמצעות Lightweight Directory Access Protocol (LDAP) הוסף שיחה המאפשרת גישה הרשאה מדי לתכונה securityDescriptor . בנוסף, היוצרים והבעלים יכולים לשנות תכונות תלויות אבטחה לאחר יצירת חשבון. ניתן למנף זאת כדי לבצע העלאת רמת הרשאה בתרחישים מסוימים.
הערהLDS ירשום אירועים 3050, 3053, 3051 ו- 3054 אודות המצב של גישה משתמעת לאובייקטים, בדיוק כמו AD עושה.
צמצום סיכונים ב- CVE-2021-42291 מורכבים מ:
-
אימות הרשאה נוסף כאשר משתמשים ללא זכויות מנהל תחום או מנהל מערכת של LDS מנסים לבצע פעולת הוספת LDAP עבור אובייקט שנגזר מהמחשב. מצב זה כולל מצב ביקורת כברירת מחדל המביקורת כאשר ניסיונות כאלה מתרחשים מבלי הפרעה לבקשה ולמצב אכיפה החוסם ניסיונות כאלה.
-
הסרה זמנית של הרשאות בעלים משתמע כאשר משתמשים ללא זכויות מנהל תחום מנסים לבצע פעולת שינוי LDAP בתכונה securityDescriptor . אימות מתרחש כדי לאשר אם המשתמש רשאי לכתוב את מתאר האבטחה ללא הרשאות משתמעות של בעלים. מצב זה כולל גם מצב ביקורת כברירת מחדל המביקורת כאשר ניסיונות כאלה מתרחשים מבלי הפרעה לבקשה ולמצב אכיפה החוסם ניסיונות כאלה.
בצע פעולה
כדי להגן על הסביבה שלך ולהימנע מהתנתקות, בצע את השלבים הבאים:
-
עדכן את כל המכשירים שמארחים את תפקיד בקר התחום או שרת LDS של Active Directory על-ידי התקנת העדכונים האחרונים של Windows. כברירת מחדל, מחשבים הכוללים את העדכונים של 9 בנובמבר 2021 ואילך יחולו על השינויים במצב ביקורת.
-
נטר את שירות מדריך הכתובות או את יומן האירועים של LDS עבור אירועי 3044-3056 בבקרי תחום ובשרתי LDS שכוללים את עדכוני Windows מ- 9 בנובמבר 2021 ואילך. אירועים רשומים מציינים שלמשתמש עשויות להיות הרשאות מוגזמות ליצירת חשבונות מחשב עם תכונות שרירותיות תלויות-אבטחה. דווח על תרחישים בלתי צפויים ל- Microsoft באמצעות אירוע Premier או Unified Support או מרכז המשוב. (ניתן למצוא דוגמה לאירועים אלה במקטע אירועים חדשים שנוספו.)
-
אם מצב ביקורת אינו מזהה הרשאות בלתי צפויות למשך זמן מספיק, עבור למצב אכיפה כדי להבטיח שלא יתרחשו תוצאות שליליות. דווח על תרחישים בלתי צפויים ל- Microsoft באמצעות אירוע Premier או Unified Support או מרכז המשוב.
תזמון עדכוני Windows
עדכוני Windows אלה יופצו בשני שלבים:
-
פריסה ראשונית – מבוא לעדכון, כולל מצבי ביקורת כברירת מחדל, אכיפה או השבתה הניתנים להגדרה באמצעות התכונה dSHeuristics .
-
פריסה סופית – אכיפה כברירת מחדל.
9 בנובמבר 2021: שלב הפריסה הראשונית
שלב הפריסה הראשונית מתחיל בעדכון Windows שפורסם ב- 9 בנובמבר, 2021. מהדורה זו מוסיפה ביקורת של הרשאות הוגדרו על-ידי משתמשים ללא זכויות מנהל תחום במהלך יצירה או שינוי של מחשב או אובייקטים הנגזרים מהמחשב. בנוסף, היא מוסיפה אכיפה ומצב השבתה. באפשרותך להגדיר את המצב הכללי עבור כל יער של Active Directory באמצעות התכונה dSHeuristics .
(עודכן ב- 15/12/2023) שלב הפריסה הסופי
שלב הפריסה הסופי יכול להתחיל לאחר השלמת השלבים המפורטים בסעיף 'בצע פעולה'. כדי לעבור למצב אכיפה, בצע את ההוראות במקטע הדרכה בנושא פריסה כדי להגדיר את הסיביות ה- 28 וה- 29 בתכונה dSHeuristics . לאחר מכן נטר לאירועים 3044-3046. הם מדווחים כאשר מצב אכיפה חסם פעולת הוספה או שינוי של LDAP שייתכן שהותר בעבר במצב ביקורת.
הדרכת פריסה
הגדרת מידע תצורה
לאחר התקנת CVE-2021-42291, תווים 28 ו- 29 של התכונה dSHeuristics שולטים באופן הפעולה של העדכון. התכונה dSHeuristics קיימת בתוך כל יער של Active Directory והיא מכילה הגדרות עבור היער כולו. התכונה dSHeuristics היא תכונה של האובייקט "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD) או "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS). ראה 6.1.1.2.4.1.2 התכונה dSHeuristics ו- DS-Heuristics לקבלת מידע נוסף.
Character 28 – Additional AuthZ verifications for LDAP Add operations
0: מצב ביקורת כברירת מחדל זמין. אירוע נרשם כאשר משתמשים ללא זכויות מנהל תחום מגדירים את securityDescriptor או תכונות אחרות לערכים שעשויים להעניק הרשאות מוגזמות, שעשויים לאפשר ניצול עתידי, באובייקטי AD חדשים הנגזרים מהמחשב.
1: מצב אכיפה זמין. פעולה זו מונעת ממשתמשים ללא זכויות מנהל תחום להגדיר את securityDescriptor או תכונות אחרות לערכים שעשויים להעניק הרשאות מופרזות באובייקטי AD הנגזרים מהמחשב. אירוע נרשם גם כאשר הדבר מתרחש.
2: הפיכת הביקורת המעודכנת ללא זמינה ואינה אוכפת את האבטחה שנוספה. לא מומלץ.
דוגמה: אם לא הפעלת הגדרות dSHeuristics אחרות ביער וברצונך לעבור למצב אכיפה עבור אימות AuthZ נוסף, יש להגדיר את התכונה dSHeuristics ל:
"0000000001000000000200000001"
התווים הוגדרו במקרה זה הם:
תו10 : יש להגדיר ל- 1 אם התכונה dSHeuristics מכילה 10 תווים לפחות
תו20: יש להגדיר ל- 2 אם התכונה dSHeuristics מכילה 20 תווים לפחות
תו 28:יש להגדיר ל- 1 כדי להפוך מצב אכיפה לזמין עבור אימות AuthZ נוסף
תו 29 – הסרה זמנית של בעלים משתמע עבור פעולות שינוי LDAP
0: מצב ביקורת כברירת מחדל זמין. אירוע נרשם כאשר משתמשים ללא זכויות מנהל תחום מגדירים את securityDescriptor לערכים שעשויים להעניק הרשאות מוגזמות, שעשויים לאפשר ניצול עתידי, באובייקטים קיימים של AD הנגזרים מהמחשב.
1: מצב אכיפה זמין. פעולה זו מונעת ממשתמשים ללא זכויות מנהל תחום להגדיר את securityDescriptor לערכים שעשויים להעניק הרשאות מופרזות באובייקטי AD קיימים הנגזרים מהמחשב. אירוע נרשם גם כאשר הדבר מתרחש.
2:הפיכת הביקורת המעודכנת ללא זמינה ואינה אוכפת את האבטחה שנוספה. לא מומלץ.
דוגמה: אם רק הגדרת את דגל dsHeuristics של אימותי אימות אימות נוספים ביער שלך וברצונך לעבור למצב אכיפה להסרת בעלות משתמעת זמנית, יש להגדיר את התכונה dSHeuristics ל:
"00000000010000000002000000011"
התווים הוגדרו במקרה זה הם:
תו10: יש להגדיר ל- 1 אם התכונה dSHeuristics מכילה 10 תווים לפחות
תו20: יש להגדיר ל- 2 אם התכונה dSHeuristics מכילה 20 תווים לפחות
תו 28:יש להגדיר ל- 1 כדי להפוך מצב אכיפה לזמין עבור אימות AuthZ נוסף
תו29: יש להגדיר ל- 1 כדי להפוך מצב אכיפה לזמין עבור הסרת בעלות משתמעת זמנית
אירועים חדשים שנוספו
עדכון Windows שפורסם ב- 9 בנובמבר 2021 יוסיף גם יומני אירועים חדשים.
אירועי שינוי מצב – אימות AuthZ נוסף עבור פעולות הוספת LDAP
אירועים המתרחשים כאשר סיבית 28 של התכונה dSHeuristics משתנה, אשר משנה את המצב של אימותי AuthZ נוספים עבור חלק הפעולות של הוספת LDAP של העדכון.
|
יומן אירועים |
שירותי מדריך כתובות |
|
סוג אירוע |
אינפורמטיבי |
|
מזהה האירוע |
3050 |
|
טקסט אירוע |
תצורת הספריה נקבעה לאכיפת הרשאה לכל תכונה במהלך פעולות הוספת LDAP. זוהי ההגדרה המאובטחת ביותר, ולא נדרשת פעולה נוספת. |
|
יומן אירועים |
שירותי מדריך כתובות |
|
סוג אירוע |
שלט אזהרה |
|
מזהה האירוע |
3051 |
|
טקסט אירוע |
תצורת הספריה נקבעה לא לאכוף הרשאה לכל תכונה במהלך פעולות הוספת LDAP. אירועי אזהרה יירשם, אך לא ייחסמו בקשות. הגדרה זו אינה מאובטחת ויש להשתמש בה כשם שלב זמני לפתרון בעיות. סקור את צמצום הסיכונים המוצע בקישור שלהלן. |
|
יומן אירועים |
שירותי מדריך כתובות |
|
סוג אירוע |
שגיאה |
|
מזהה האירוע |
3052 |
|
טקסט אירוע |
תצורת הספריה נקבעה לא לאכוף הרשאה לכל תכונה במהלך פעולות הוספת LDAP. לא יירשם אירועים, ולא ייחסמו בקשות. הגדרה זו אינה מאובטחת ויש להשתמש בה כשם שלב זמני לפתרון בעיות. סקור את צמצום הסיכונים המוצע בקישור שלהלן. |
אירועי שינוי מצב – הסרה זמנית של זכויות בעלים משתמע
אירועים המתרחשים כאשר סיבית 29 של התכונה dSHeuristics משתנה, אשר משנה את המצב של הסרה זמנית של חלק זכויות בעלים משתמע של העדכון.
|
יומן אירועים |
שירותי מדריך כתובות |
|
סוג אירוע |
אינפורמטיבי |
|
מזהה האירוע |
3053 |
|
טקסט אירוע |
תצורת הספריה נקבעה לחסום הרשאות בעלים משתמעות בעת הגדרה או שינוי של התכונה nTSecurityDescriptor במהלך פעולות הוספה ושינוי של LDAP. זוהי ההגדרה המאובטחת ביותר, ולא נדרשת פעולה נוספת. |
|
יומן אירועים |
שירותי מדריך כתובות |
|
סוג אירוע |
שלט אזהרה |
|
מזהה האירוע |
3054 |
|
טקסט אירוע |
תצורת הספריה נקבעה לאפשר הרשאות בעלים משתמעות בעת הגדרה או שינוי של התכונה nTSecurityDescriptor במהלך פעולות הוספה ושינוי של LDAP. אירועי אזהרה יירשם, אך לא ייחסמו בקשות. הגדרה זו אינה מאובטחת ויש להשתמש בה כשם שלב זמני לפתרון בעיות. |
|
יומן אירועים |
שירותי מדריך כתובות |
|
סוג אירוע |
שגיאה |
|
מזהה האירוע |
3055 |
|
טקסט אירוע |
תצורת הספריה נקבעה לאפשר הרשאות בעלים משתמעות בעת הגדרה או שינוי של התכונה nTSecurityDescriptor במהלך פעולות הוספה ושינוי של LDAP. לא יירשם אירועים, ולא ייחסמו בקשות. הגדרה זו אינה מאובטחת ויש להשתמש בה כשם שלב זמני לפתרון בעיות. |
אירועי מצב ביקורת
אירועים המתרחשים במצב ביקורת כדי לרשום חששות אבטחה פוטנציאליים באמצעות פעולת הוספה או שינוי של LDAP.
|
יומן אירועים |
שירותי מדריך כתובות |
|
סוג אירוע |
שלט אזהרה |
|
מזהה האירוע |
3047 |
|
טקסט אירוע |
שירות מדריך הכתובות זיהה בקשה להוספת LDAP עבור האובייקט הבא, שבדרך כלל היה נחסם מסיבות האבטחה הבאות. ללקוח לא היתה הרשאה לכתוב תכונה אחת או יותר הכלולות בבקשה להוספה, בהתבסס על מתאר האבטחה הממוזג המהווה ברירת מחדל. הבקשה הותרה להמשיך מאחר שמדריך הכתובות מוגדר כעת להיות במצב ביקורת בלבד עבור בדיקת אבטחה זו. DN של <: שם המשתמש של האובייקט> מחלקת האובייקטים: <objectClass של האובייקט> משתמש: <ניסה את הוספת LDAP> כתובת IP של <: כתובת ה- IP של השולח> Desc security: <the SD that was attempted> |
|
יומן אירועים |
שירותי מדריך כתובות |
|
סוג אירוע |
שלט אזהרה |
|
מזהה האירוע |
3048 |
|
טקסט אירוע |
שירות מדריך הכתובות זיהה בקשה להוספת LDAP עבור האובייקט הבא, שבדרך כלל היה נחסם מסיבות האבטחה הבאות. הלקוח כלל תכונת nTSecurityDescriptor בבקשה להוספה, אך לא היתה לו הרשאה מפורשת לכתוב חלק אחד או יותר של מתאר האבטחה החדש, בהתבסס על מתאר האבטחה הממוזג המהווה ברירת מחדל. הבקשה הותרה להמשיך מאחר שמדריך הכתובות מוגדר כעת להיות במצב ביקורת בלבד עבור בדיקת אבטחה זו. DN של <: שם המשתמש של האובייקט> מחלקת האובייקטים: <objectClass של האובייקט> משתמש: <ניסה את הוספת LDAP> כתובת IP של <: כתובת ה- IP של השולח> |
|
יומן אירועים |
שירותי מדריך כתובות |
|
סוג אירוע |
שלט אזהרה |
|
מזהה האירוע |
3049 |
|
טקסט אירוע |
שירות מדריך הכתובות זיהה בקשה לשינוי LDAP עבור האובייקט הבא, שבדרך כלל היה נחסם מסיבות האבטחה הבאות. הלקוח כלל תכונת nTSecurityDescriptor בבקשה להוספה, אך לא היתה לו הרשאה מפורשת לכתוב חלק אחד או יותר של מתאר האבטחה החדש, בהתבסס על מתאר האבטחה הממוזג המהווה ברירת מחדל. הבקשה הותרה להמשיך מאחר שמדריך הכתובות מוגדר כעת להיות במצב ביקורת בלבד עבור בדיקת אבטחה זו. DN של <: שם המשתמש של האובייקט> מחלקת האובייקטים: <objectClass של האובייקט> משתמש: <ניסה את הוספת LDAP> כתובת IP של <: כתובת ה- IP של השולח> |
|
יומן אירועים |
שירותי מדריך כתובות |
|
סוג אירוע |
שלט אזהרה |
|
מזהה האירוע |
3056 |
|
טקסט אירוע |
שירות מדריך הכתובות עיבד שאילתה עבור התכונה sdRightsEffective באובייקט שצוין להלן. מסיכת הגישה שהוחזרה כללה WRITE_DAC, אך רק משום שמדריך הכתובות הוגדר לאפשר הרשאות בעלים משתמעות שאינן הגדרה מאובטחת. DN של <: שם המשתמש של האובייקט> משתמש: <ניסה את הוספת LDAP> כתובת IP של <: כתובת ה- IP של השולח> |
מצב אכיפה - כשלים בהוספת LDAP
אירועים המתרחשים כאשר פעולת הוספת LDAP נדחתה.
|
יומן אירועים |
שירותי מדריך כתובות |
|
סוג אירוע |
שלט אזהרה |
|
מזהה האירוע |
3044 |
|
טקסט אירוע |
שירות מדריך הכתובות דחה בקשה להוספה של LDAP עבור האובייקט הבא. הבקשה נדחתה מאחר שללקוח לא היתה הרשאה לכתוב תכונה אחת או יותר הכלולות בבקשה להוספה, בהתבסס על מתאר האבטחה הממוזג המהווה ברירת מחדל. DN של <: שם המשתמש של האובייקט> מחלקת האובייקטים: <objectClass של האובייקט> משתמש: <ניסה את הוספת LDAP> כתובת IP של <: כתובת ה- IP של השולח> Desc security: <the SD that was attempted> |
|
יומן אירועים |
שירותי מדריך כתובות |
|
סוג אירוע |
שלט אזהרה |
|
מזהה האירוע |
3045 |
|
טקסט אירוע |
שירות מדריך הכתובות דחה בקשה להוספה של LDAP עבור האובייקט הבא. הבקשה נדחתה מאחר שהלקוח כלל תכונת nTSecurityDescriptor בבקשה להוספה, אך לא היתה לו הרשאה מפורשת לכתוב חלק אחד או יותר של מתאר האבטחה החדש, בהתבסס על מתאר האבטחה הממוזג המוגדר כברירת מחדל. DN של <: שם המשתמש של האובייקט> מחלקת האובייקטים: <objectClass של האובייקט> משתמש: <ניסה את הוספת LDAP> כתובת IP של <: כתובת ה- IP של השולח> |
מצב אכיפה - כשלים בשינוי LDAP
אירועים המתרחשים כאשר פעולת שינוי של LDAP נדחתה.
|
יומן אירועים |
שירותי מדריך כתובות |
|
סוג אירוע |
שלט אזהרה |
|
מזהה האירוע |
3046 |
|
טקסט אירוע |
שירות מדריך הכתובות דחה בקשה לשינוי LDAP עבור האובייקט הבא. הבקשה נדחתה מאחר שללקוח כללה תכונת nTSecurityDescriptor בבקשה לשינוי, אך לא היתה לה הרשאה מפורשת לכתוב חלק אחד או יותר של מתאר האבטחה החדש, בהתבסס על מתאר האבטחה הקיים של האובייקט. DN של <: שם המשתמש של האובייקט> מחלקת האובייקטים: <objectClass של האובייקט> משתמש: <ניסה את הוספת LDAP> כתובת IP של <: כתובת ה- IP של השולח> |
שאלות נפוצות
Q1 מה קורה אם יש לי שילוב של בקרי תחום של Active Directory שמתעדכנים ולא מעודכנים?
A1 המחשבים שאינם מעודכנים לא ירשום אירועים הקשורים לפגיעות זו.
רבעון2 מה עליי לעשות עבור בקרי Read-Only תחום (RODCs)?
A2 2 כלום; פעולות הוספה ושינוי של LDAP אינן יכולות לייעד רכיבי RODC.
רבעון3 יש לי מוצר או תהליך של ספק חיצוני שכשל לאחר הפעלת מצב אכיפה. האם עלי להעניק זכויות מנהל תחום של שירות או משתמש?
A3 בדרך כלל איננו ממליצים להוסיף שירות או משתמש לקבוצה Domain Administrators כפתרון הראשון לבעיה זו. בדוק את יומני האירועים כדי לראות איזו הרשאה ספציפית נדרשת ושקול להקצות זכויות מוגבלות כראוי עבור משתמש זה ביחידה ארגונית נפרדת המיועדת למטרה זו.
רבעון4 אני רואה את אירועי הביקורת גם עבור שרתי LDS. למה זה קורה?
A4 2016כל האמור לעיל חל גם על AD LDS, על אף שזה מאוד לא שגרתי להחזיק באובייקטי מחשב ב- LDS. יש לבצע את שלבי צמצום הסיכונים גם כדי להפוך את ההגנה לזמינה עבור AD LDS כאשר מצב ביקורת אינו מזהה הרשאות בלתי צפויות.
