AŽURIRANO 14. ožujka 2023.
Sažetak
CVE-2021-42287 rješava sigurnosnu ranjivost zaobilaženje koja utječe na certifikat atributa Kerberos Privilege (PAC) i potencijalnim napadačima omogućuje oponašanje domenskih kontrolera. Da biste iskoristili tu ranjivost, ugroženi račun domene može uzrokovati da KDC (Key Distribution Center) stvori servisni list s višom razinu privilegija od razine ugroženog računa. To se postiže tako što sprječava KDC da prepozna za koji je račun zahtjev za uslugu više privilegije.
Poboljšani postupak provjere autentičnosti u CVE-2021-42287 dodaje nove informacije o izvornom podnositelju zahtjeva PAC-ima tvrtke Kerberos Ticket-Granting Tickets (TGT). Kada se za račun generira servisna etiketa Kerberos, novi će postupak provjere autentičnosti provjeriti je li račun koji je zatražio TGT isti račun na koji se poziva servisna etiketa.
Nakon instalacije ažuriranja sustava Windows od 9. studenog 2021. ili novije, PAC-ovi će se dodati U TGT svih računa domene, čak i onih koji su prethodno odlučili odbiti PC-jeve.
Akcija
Da biste zaštitili svoje okruženje i izbjegli prekide rada, učinite sljedeće:
-
Ažurirajte sve uređaje na kojima se hostira uloga kontrolora domene Active Directory instaliranjem sigurnosnog ažuriranja od 9. studenog 2021. i ažuriranja od 14. studenog 2021. izvan područja (OOB). U nastavku pronađite OOB KB broj za određeni OPERACIJSKI sustav.
OS
Broj članka u bazi znanja
Windows Server 2016
Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
-
Nakon instalacije sigurnosnog ažuriranja od 9. studenog 2021. i ažuriranja OOB-a od 14. studenoga 2021. na svim kontrolorima domena servisa Active Directory najmanje 7 dana, preporučujemo da omogućite način provođenja na svim domenskih kontrolera servisa Active Directory.
-
Počevši od ažuriranja faze provođenja od 11. listopada 2022., način provođenja omogućit će se na svim domenski kontrolerima sustava Windows i bit će potreban.
Tempiranje ažuriranja sustava Windows – (ažurirano 31. 1. 23.)
Ti će Ažuriranja sustava Windows biti objavljeni u tri faze:
-
Početna implementacija – uvod u ažuriranje, kao i ključ registra PacRequestorEnforcement
-
Druga implementacija – uklanjanje pacRequestorEnforcement vrijednosti 0 (mogućnost onemogućivanja ključa registra)
-
Faza provođenja – način provođenja je omogućen. Ova faza amortizira tipku PacRequestorEnforcement i više je ne čita
9. studenog 2021.: početna faza implementacije
Početna faza implementacije započinje ažuriranjem sustava Windows izdanim 9. studenog 2021. Ovo izdanje:
-
Dodaje zaštite od CVE-2021-42287
-
Dodaje podršku za vrijednost registra PacRequestorEnforcement , što vam omogućuje da prijeđite na fazu provođenja ranije
Ublažavanje se sastoji od instalacije ažuriranja sustava Windows na svim uređajima na kojima se nalazi uloga kontrolera domene i domenski kontroleri samo za čitanje (RODC-ovi).
12. srpnja 2022.: druga faza implementacije
Druga faza implementacije započinje ažuriranjem sustava Windows izdanim 12. srpnja 2022. Ova faza uklanja postavku PacRequestorEnforcement broja 0. Postavljanje PacRequestorEnforcement na 0 nakon instalacije ovog ažuriranja ima isti učinak kao i postavljanje pacRequestorEnforcement na 1. Domenski kontroleri (DC- ovi) bit će u načinu implementacije.
Napomena Ta faza nije potrebna ako PacRequestorEnforcement nikada nije postavljen na 0 u vašem okruženju. Ova faza pomaže osigurati da se korisnici koji su postavili PacRequestorEnforcement na 0pomaknu na postavljanje 1 prije faze provođenja.
Napomena Ovo ažuriranje pretpostavlja da su svi domenski kontroleri ažurirani ažuriranjem sustava Windows od 9. studenog 2021. ili novijim.
11. listopada 2022.: faza provedbe – (ažurirano 31. 1. 2023.)
Izdanje od 11. listopada 2022. pretvorit će sve kontrolore domene servisa Active Directory u fazu provođenja. Faza provođenja skraćuje ključ PacRequestorEnforcement i više ga ne čita. Zbog toga domenski kontroleri sustava Windows koji su instalirali ažuriranje od 11. listopada 2022. više neće biti kompatibilni sa:
-
Domenski kontroleri koji nisu instalirali ažuriranja od 9. studenog 2021. ili novija.
-
Domenski kontroleri koji su instalirali ažuriranja od 9. studenog 2021. ili novija, ali još nisu instalirali ažuriranje od 12. srpnja 2022. i koji imaju vrijednost registra PacRequestorEnforcement od 0.
No domenski kontroleri sustava Windows koji su instalirali ažuriranje od 11. listopada 2022. i dalje će biti kompatibilni sa:
-
Domenski kontroleri sustava Windows koji su instalirali ažuriranja od 11. listopada 2022. ili novija
-
Domenski kontroleri prozora koji su instalirali ažuriranjaod 9. studenog 2021. ili novija i imaju vrijednost PacRequestorEnforcement ili 1 ili 2
Informacije o ključu registra
Nakon instalacije zaštite CVE-2021-42287 u ažuriranjima sustava Windows objavljenima između 9. studenog 2021. i 14. lipnja 2022., bit će dostupan sljedeći ključ registra:
Potključ registra |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Vrijednost |
PacRequestorEnforcement |
Vrsta podataka |
REG_DWORD |
Podaci |
1: Dodajte novi PAC korisnicima koji su provjerili autentičnost pomoću domenskog kontrolera servisa Active Directory s instaliranim ažuriranjima od 9. studenog 2021. ili novijim. Prilikom provjere autentičnosti, ako korisnik ima novi PAC, provjerava se valjanost PAC-a. Ako korisnik nema novi PAC, ne poduzima se nikakva dodatna radnja. Domenski kontroleri servisa Active Directory u ovom načinu rada nalaze se u fazi implementacije. 2: Dodajte novi PAC korisnicima koji su provjerili autentičnost pomoću domenskog kontrolera servisa Active Directory s instaliranim ažuriranjima od 9. studenog 2021. ili novijim. Prilikom provjere autentičnosti, ako korisnik ima novi PAC, provjerava se valjanost PAC-a. Ako korisnik nema novi PAC, provjera autentičnosti je odbijena. Domenski kontroleri servisa Active Directory u ovom načinu rada nalaze se u fazi provođenja. 0: Onemogućuje ključ registra. Ne preporučuje se. Domenski kontroleri servisa Active Directory u ovom načinu rada nalaze se u fazi Onemogućeno. Ta vrijednost neće postojati nakon ažuriranja od 12. srpnja 2022. ili novije verzije. Važno Postavka 0 nije kompatibilna s postavkom 2. Povreeni kvarovi mogu se pojaviti ako se obje postavke koriste unutar šume. Ako se koristi postavka 0, preporučujemo da prije prelaska na postavku 0 (Onemogući) postavite 1 (Implementacija) najmanje tjedan dana prije prelaska na postavku 2 (način provođenja). |
Zadano |
1 (kada ključ registra nije postavljen) |
Je li potrebno ponovno pokretanje? |
Ne |
Događaji nadzora
Ažuriranje sustava Windows od 9. studenog 2021. dodat će i nove zapisnike događaja.
PAC bez atributa
KDC nailazi na TGT bez međuspremnika atributa PAC. Vjerojatno drugi KDC u zapisnicima ne sadrži ažuriranje ili je u onemogućenom načinu rada.
Zapisnik događaja |
Sustav |
Vrsta događaja |
Upozorenje |
Izvor događaja |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID događaja |
35 |
Tekst događaja |
Centar za raspodjelu ključeva (KDC) naišao je na zahtjev za izdavanje ulaznica (TGT) iz drugog KDC-a ("<KDC name>") koji ne sadrži polje ATRIBUTA PAC. |
Ulaznica bez PAC-a
KDC nailazi na TGT ili drugu dokaznu kartu bez PAC-a. Time se KDC-u onemogunjuje nametanje sigurnosnih provjera ulaznice.
Zapisnik događaja |
Sustav |
Vrsta događaja |
Upozorenje tijekom faze implementacije Pogreška tijekom faze provođenja |
Izvor događaja |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID događaja |
36 |
Tekst događaja |
Centar za raspodjelu ključeva (KDC) naišao je na kartu koja ne sadrži PAC tijekom obrade zahtjeva za drugu prijavu. To je spriječilo pokretanje sigurnosnih provjera i moglo je otvoriti sigurnosne slabe točke. Klijent: <naziv domene>\<korisničko ime> Ulaznica za: <naziv servisa> |
Ulaznica bez podnositelja zahtjeva
KDC naiđe na TGT ili drugu dokaznu kartu bez međuspremnika PAC Requestor. Vjerojatno KDC koji je konstruiran PAC ne sadrži ažuriranje ili je u onemogućenom načinu rada.
Napomena Važne informacije o događaju 37 potražite u odjeljku Poznati problemi.
Zapisnik događaja |
Sustav |
Vrsta događaja |
Upozorenje tijekom faze implementacije Pogreška tijekom faze provođenja |
Izvor događaja |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID događaja |
37 |
Tekst događaja |
Centar za raspodjelu ključeva (KDC) naišao je na kartu koja ne sadrži informacije o računu koji je zatražio zahtjev za ulaznicu tijekom obrade zahtjeva za drugu prijavu. To je spriječilo pokretanje sigurnosnih provjera i moglo je otvoriti sigurnosne slabe točke. Ticket PAC konstruiran od strane: <KDC name> Klijent: <naziv domene>\<naziv klijenta> Ulaznica za: <naziv servisa> |
Nepodudaranje podnositelja zahtjeva
KDC naiđe na TGT ili drugu dokaznu kartu, a račun koji je zatražio TGT ili dokaznu kartu ne odgovara računu za koji je ugrađena servisna etiketa.
Zapisnik događaja |
Sustav |
Vrsta događaja |
Pogreška |
Izvor događaja |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID događaja |
38 |
Tekst događaja |
Centar za raspodjelu ključeva (KDC) naišao je na kartu koja sadrži nedosljedne informacije o računu koji je zatražio prijavu. To može značiti da je račun preimenovana nakon izdavanja ulaznice, što je možda bilo dio pokušaja iskorištavanja. Ticket PAC konstruiran od strane: <Kdc Name> Klijent: <naziv domene>\<korisničko ime> Ulaznica za: <naziv servisa> Zahtijevanje SID-a računa iz servisa Active Directory: <SID> Zahtjev za SID računa od ulaznice: <SID> |
Poznati problemi
Simptom |
Zaobilazno rješenje |
---|---|
Nakon instalacije ažuriranja sustava Windows objavljenih 9. studenog 2021. ili novije verzije na domenske kontrolere (DC-ove), neki korisnici mogu vidjeti novi ID događaja nadzora 37 zabilježen nakon određene postavke lozinke ili promjena operacija kao što su:
Ako ne vidite ID događaja 37 nakon instalacije ažuriranja sustava Windows objavljenih 9. studenog 2021. ili novije na tjedan dana, a PacRequestorEnforcement je "1" ili "2", to neće utjecati na vaše okruženje. Ako postavite PacRequestorEnforcement = 1, ID događaja 37 bilježi se kao upozorenje, ali zahtjevi za promjenom lozinke uspjeti će i neće utjecati na korisnike. Ako postavite PacRequestorEnforcement = 2, zahtjevi za promjenom lozinke neće uspjeti i uzrokovat će i neuspjeh prethodno navedenih operacija. |
Taj je problem riješen u sljedećim ažuriranjima:
|
Najčešća pitanja
P1 Što se događa ako imam mješavinu domenskog kontrolera servisa Active Directory koji su ažurirani i nisu ažurirani?
A1. (A1). Mješavina domenskih kontrolera koji se ažuriraju i ne ažuriraju, ali imaju zadanu vrijednost ključa registra PacRequestorEnforcement od 1 međusobno su kompatibilne. No Microsoft vam svakako preporučuje da ne koristite domenski kontroler koji se ažuriraju i ne ažuriraju u okruženju.
Q2 Što se događa ako imam mješavinu domenskih kontrolera servisa Active Directory s različitim vrijednostima PacRequestorEnforcement?
A2. (A2). Mješavina domenskih kontrolera koji imaju pacRequestorEnforcement vrijednosti 0 i 1 kompatibilne su jedna s drugom. Mješavina domenskih kontrolera koji imaju pacRequestorEnforcement vrijednosti 1 i 2 kompatibilne su jedna s drugom. Mješavina domenskih kontrolera koji imaju vrijednosti PacRequestorEnforcement 0 i 2 nisu međusobno kompatibilne i mogu uzrokovati povremene kvarove. Dodatne informacije potražite u odjeljku Informacije o ključu registra.