סיכום
11 בינואר 2022, עדכונים Windows עדכונים ואילך Windows מוסיפים הגנות עבור CVE-2022-21913.
לאחר התקנת עדכוני Windows ב- Windows 11 בינואר 2022, עדכוני Windows ואילך, ההצפנה Advanced Encryption Standard (AES) תוגדר כשיטת ההצפנה המועדפת בלקוחות Windows בעת שימוש בפרוטוקול רשות האבטחה המקומית (מדיניות תחום) (MS-LSAD) מדור קודם עבור פעולות מהימנה של סיסמאות אובייקטי תחום הנשלחות דרך רשת. הדבר נכון רק אם השרת תומך בהצפנה של AES. אם השרת אינו תומך בהצפנה של AES, המערכת תאפשר נסיגה להצפנה מדור קודם של RC4.
שינויים ב- CVE-2022-21913 ספציפיים לפרוטוקול MS-LSAD. הם אינם תלויים בפרוטוקולים אחרים. MS-LSAD משתמש בבלוק הודעת שרת (SMB) במהלך שיחה לפרוצדורה מרוחקת
(RPC) וצינורות בעלי שם. למרות ש- SMB תומך גם בהצפנה, הוא אינו זמין כברירת מחדל. כברירת מחדל, השינויים ב- CVE-2022-21913 זמינים ומספקים אבטחה נוספת בשכבת LSAD. אין צורך בשינויי תצורה נוספים מעבר להתקנת הגנות עבור CVE-2022-21913 הכלולים ב- 11 בינואר 2022, עדכונים Windows ועדכונים מאוחרים Windows בכל הגירסאות הנתמכות של Windows. יש להפסיק או לשדרג Windows גירסאות שאינן נתמכות לגירסה נתמכת.
הערה CVE-2022-21913 משנה רק את אופן ההצפנה של סיסמאות אמון במהלך המעבר בעת שימוש ב- API ספציפיים של פרוטוקול MS-LSAD ובפרט לא משנה את אופן האחסון של סיסמאות במנוחה. לקבלת מידע נוסף אודות האופן בו סיסמאות מוצפנות במנוחה ב- Active Directory ובאופן מקומי במסד הנתונים של SAM (הרישום), ראה מבט כולל על סיסמאות טכניות.
מידע נוסף
שינויים שבוצעו ב- 11 בינואר 2022, עדכונים
-
תבנית אובייקט מדיניות
העדכונים משנים את תבנית אובייקט המדיניות של הפרוטוקול על-ידי הוספת שיטת מדיניות חדשה של Open, המאפשרת ללקוח ולשרת לשתף מידע אודות תמיכה ב- AES.שיטה ישנה באמצעות RC4
שיטה חדשה באמצעות AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
לקבלת רשימה מלאה של opnums של פרוטוקול MS-LSAR, ראה [MS-LSAD]: אירועי עיבוד הודעות וכללי רצף.
-
תבנית אובייקט תחום מהימן
העדכונים משנים תבנית יצירת אובייקט תחום מהימן של הפרוטוקול על-ידי הוספת שיטה חדשה ליצירת אמון שישתמש ב- AES כדי להצפין נתוני אימות.
ה- API של LsaCreateTrustedDomainEx יעדיף כעת את השיטה החדשה אם הלקוח והשרת מתעדכנים ונחזור לשיטה ישנות יותר אחרת.
שיטה ישנה באמצעות RC4
שיטה חדשה באמצעות AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
העדכונים משנים את תבנית ערכת האובייקטים המהימנה של התחום של הפרוטוקול על-ידי הוספת שתי כיתות מידע מהימנה חדשות לשיטות LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). באפשרותך להגדיר מידע אודות אובייקט תחום מהימן באופן הבא.
שיטה ישנה באמצעות RC4
שיטה חדשה באמצעות AES
LsarSetInformationTrustedDomain (Opnum 27) יחד עם TrustedDomainAuthInformationInternal אוTrustedDomainFullInformationInternal (כולל סיסמת אמון מוצפנת המשתמשת ב- RC4)
LsarSetInformationTrustedDomain (Opnum 27) יחד עם TrustedDomainAuthInformationInternalAes או TrustedDomainFullInformationAes (מחזיקה בסיסמת אמון מוצפנת המשתמשת ב- AES)
LsarSetTrustedDomainInfoByName (Opnum 49) יחד עם TrustedDomainAuthInformationInternal אוTrustedDomainFullInformationInternal (מחזיקה בסיסמת אמון מוצפנת המשתמשת ב- RC4 ובתכונות האחרות)
LsarSetTrustedDomainInfoByName (Opnum 49) יחד עם TrustedDomainAuthInformationInternalAes או TrustedDomainFullInformationInternalAes (מחזיקה בסיסמת אמון מוצפנת המשתמשת ב- AES ובתכונות האחרות)
אופן הפעולה החדש
השיטה הקיימת LsarOpenPolicy2 משמשת בדרך כלל לפתיחת נקודת אחיזה תלויית הקשר לשרת RPC. זוהי הפונקציה הראשונה שיש להתקשר אליה כדי ליצור קשר עם מסד הנתונים של פרוטוקול מרוחק של רשות האבטחה המקומית (מדיניות תחום). לאחר התקנת עדכונים אלה, השיטה LsarOpenPolicy2 מותנה בשיטה החדשה LsarOpenPolicy3.
לקוח מעודכן שקורא ל- API של LsaOpenPolicy יתקשר כעת לפעולת השירות LsarOpenPolicy3 תחילה. אם השרת אינו מתעדכן והוא אינו מיישם את פעולת השירות LsarOpenPolicy3, הלקוח חוזר לפעולת השירות LsarOpenPolicy2, והוא משתמש בשיטות הקודמות המשתמשות בהצפנה של RC4.
שרת מעודכן יחזיר מעטה חדשה בתגובה לפעולת השירות LsarOpenPolicy3, כפי שהוגדר ב- LSAPR_REVISION_INFO_V1. לקבלת מידע נוסף, עיין במקטעים "שימוש בצופן AES" LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" ב- MS-LSAD.
אם השרת תומך ב- AES, הלקוח ישתמש בשיטות החדשות ובמחלקות המידע החדשות עבור פעולות "יצירה" ו"ערכה" הבאות של התחום המהימן. אם השרת אינו מחזיר דגל זה, או אם הלקוח אינו מתעדכן, הלקוח יחזור לשימוש בשיטות הקודמות המשתמשות בהצפנה של RC4.
רישום אירועים
העדכונים ב- 11 בינואר 2022 מוסיפים אירוע חדש ליומני אירועי האבטחה כדי לסייע בזיהוי מכשירים שלא עודכנו, ולעזור בשיפור האבטחה.
|
ערך |
משמעות |
|---|---|
|
מקור אירוע |
Microsoft-Windows-Security |
|
מזהה אירוע |
6425 |
|
רמה |
מידע |
|
טקסט הודעת אירוע |
לקוח רשת השתמש בשיטת RPC מדור קודם כדי לשנות מידע אימות באובייקט תחום מהימן. מידע האימות היה מוצפן באמצעות אלגוריתם הצפנה מדור קודם. שקול לשדרג את מערכת ההפעלה או היישום של הלקוח כדי להשתמש בגירסה העדכנית ומאובטחת יותר של שיטה זו. תחום מהימן:
השתנה על-ידי:
כתובת רשת לקוח: לקבלת מידע נוסף, עבור אל https://go.microsoft.com/fwlink/?linkid=2161080. |
שאלות נפוצות (שאלות נפוצות)
ש1: אילו תרחישים מפעילים שדרוג לאחור מ- AES ל- RC4?
A1: שדרוג לאחור מתרחש אם השרת או הלקוח אינם תומכים ב- AES.
ש2: כיצד ניתן לדעת אם הצפנת RC4 או הצפנה של AES נהלו משא ומתן?
A2: שרתים מעודכנים ירשום אירוע מס' 6425 כאשר נעשה שימוש בשיטות מדור קודם השתמשו ב- RC4.
ש3: האם ניתן לדרוש הצפנה של AES בשרת, ולעדכן עדכונים Windows באופן תיכנותי באמצעות AES?
A3: בשלב זה אין מצב אכיפה זמין. עם זאת, ייתכן שיהיה בעתיד, למרות שלא תוזמן שינוי כזה.
ש4: האם לקוחות של ספקים אחרים תומכים בהגנת CVE-2022-21913 כדי לנהל משא ומתן על AES כאשר השרת נתמך? האם עליי לפנות לתמיכה של Microsoft או לצוות התמיכה של ספקים אחרים כדי לטפל בשאלה זו?
A4: אם התקן או יישום של ספקים שלישיים אינם משתמשים בפרוטוקול MS-LSAD, הדבר אינו חשוב. ספקים של ספקים אחרים המיישם את פרוטוקול MS-LSAD עשויים לבחור ליישם פרוטוקול זה. לקבלת מידע נוסף, פנה לספק של ספק חיצוני.
ש5: האם יש לבצע שינויי תצורה נוספים?
A5: אין צורך בשינויי תצורה נוספים.
Q6: מה משתמש בפרוטוקול זה?
A6: פרוטוקול MS-LSAD משמש רכיבים Windows, כולל Active Directory וכלים כגון מסוף תחומי Active Directory ו- Trusts. יישומים עשויים גם להשתמש בפרוטוקול זה באמצעות ממשקי API של ספריית advapi32, כגון LsaOpenPolicy או LsaCreateTrustedDomainEx.
