סיכום
Microsoft פרסמה עדכון Windows כדי לטפל בפגיעות של התקפה של הפעלה חוזרת של אסימון ב- Active Directory Federation Services (AD FS) כמתואר ב- CVE-2023-35348. עדכון זה מותקן על-ידי עדכוני Windows שהופצו ב- 11 ביולי 2023 או לאחר מכן. כברירת מחדל, עדכון זה מותקן כלא זמין. כדי להפוך את העדכון לזמין, עליך לקבוע את התצורה של ההגדרה EnforceNonceInJWT .
מידע נוסף
עדכון זה מציג הגדרה חדשה כדי להפוך את האימות של Nonce לזמין מההגדרת אסימון האינטרנט של JSON ( JWT) במהלך אימות משתמש JWT.
מאמר זה מתאר כיצד להפוך את ההגדרה לזמינה ומספק פרטים של אירועים הנרכשים בשרתי AD FS עבור הערכים הנתמכים של ההגדרה.
הגדרת EnforceNonceInJWT
EnforceNonceInJWT עשוי להיות מוגדר על-ידי מנהל בשרת ADFS לפעול באחד מהמצבים הבאים:
-
ללא (ערך ברירת מחדל): אפשרות זו משמשת למעקב אם ערך ההגדרה EnforceNonceInJWT השתנה אי פעם. ייתכן שערך זה אינו מוגדר על-ידי מנהל מערכת. שרת ADFS מאמת את ההקשר רק כאשר הוא נמצא ב-JWT קביעה אך אינו אוכף את הנוכחות שלו.
-
לא זמין: ניתן להגדיר ערך זה כדי להפוך את התיקון ללא זמין, אם קיימות בעיות כלשהן עם ערך ברירת המחדל או לאחר הפיכתו לזמין.
-
מופעלת: הפיכת ההגדרה EnforceNonceInJWT לזמינה . שרת ADFS אוכף כי Nonce נמצא ב קביעה JWT והוא גם חוקי כאשר מתקיימים תנאים מסוימים.
ניתן לשנות מצבי EnforceNonceInJWT על-ידי מנהל מערכת בשרת AD FS באמצעות הפקודות הבאות של PowerShell:
-
הפוך את EnforceNonceInJWT לזמין:
Set-AdfsProperties -EnforceNonceInJWT Enabled -
Disable EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Disabled -
בדוק את המצב של ההגדרה EnforceNonceInJWT:
מנהל מערכת עשוי להפעיל את Get-AdfsProperties כדי לבדוק את ההגדרה הנוכחית EnforceNonceInJWT . הערך EnforceNonceInJWT המוחזר יתאים למצב שתצורתו נקבעה.
אירועים שנרשם
האירועים הבאים עשויים להיות מחוברים בשרת AD FS לאחר התקנת עדכוני Windows שהופצו ב- 11 ביולי 2023 או לאחר מכן:
הערה אירוע 187 נרשם בכל פעם שהשרת AD FS מקבל בקשה אינן מכילות Nonce ב- JWT קביעה ו- EnforceNonceInJWT מוגדר ללא או כלא זמין.
מקור: AD FS
רמת: שלט אזהרה
מספר מזהה: 187
ההודעה: שרת AD FS קיבל אסימון JWT ללא קביעה והוא התקבל בהתבסס על הגדרת התצורה הנוכחית של EnforceNonceInJWT. עם זאת, הוא מציין הפעלה חוזרת פוטנציאלית של אסימון JWT על-ידי לקוח זדוני או אפשרות שהלקוח לא יעודן עם הגירסה העדכנית ביותר של Windows עדכונים. הקפד לעדכן את ההגדרה EnforceNonceInJWT כדי לדחות את כל האסימונים מסוג JWT כאלה לאחר תיקון הלקוחות באמצעות ההגדרה העדכנית ביותר של Windows עדכונים. לקבלת מידע נוסף על כך, ראה https://go.microsoft.com/fwlink/?linkid=2238156.
הערה אירוע 188 נרשם עם כל הפעלת שירות AD FS כאשר EnforceNonceInJWT מוגדר כ'ללא ' או 'לא זמין'.
מקור: AD FS
רמת: שגיאה
מספר מזהה: 188
ההודעה: תצורת שרת AD FS לא נקבעה לדחות אסימוני JWT שלא היו להם זמן קביעה. יש להפוך את ההגדרה המתאימה (EnforceNonceInJWT) לזמינה מסיבות אבטחה לאחר לוודא שכל הלקוחות יתוקנו עם הגירסה העדכנית ביותר של Windows עדכונים. האירוע 187 מציין את המופעים שבהם AD FS קיבל אסימונים כאלה והתקבלו עקב ההגדרה הנוכחית של EnforceNonceInJWT. לקבלת מידע נוסף על כך, ראה https://go.microsoft.com/fwlink/?linkid=2238156.
בצע פעולה
התקן את עדכוני Windows שהופצו ב- 11 ביולי 2023 או לאחר מכן בכל שרתי AD FS של החווה. לאחר מכן, הפוך את ההגדרה לזמינה על-ידי הפעלת הפקודה הבאה של PowerShell בשרת AD FS הראשי של החווה:
Set-AdfsProperties -EnforceNonceInJWT זמין
חשוב ייתכן שתראה כשלי אימות בתרחישים מסוימים כאשר קיימים לקוחות שאינם מעודכנים וישלחו בקשות אימות JWT לשרת AD FS. במקרים כאלה, אנו ממליצים לעדכן את כל הלקוחות על-ידי התקנת עדכון Windows שפורסם ב- 11 ביולי 2023 או לאחר מכן. לחלופין, מנהל מערכת יכול להפוך את ההגדרה EnforceNonceInJWT ללא זמינה ולנטר את שרתי AD FS עבור הרישום של אירוע 187 כדי לזהות בקשות פוטנציאליות שניתן לדחות כאשר EnforceNonceInJWT מוגדר כזמין. לאחר אישור היעדר אירוע 187 בשרתי AD FS לפרק זמן מוגדר, יש לעדכן את ההגדרה EnforceNonceInJWTלזמין.
