Ažurirano 20. 3. 2024. – dodane reference na LDS
Sažetak
CVE-2021-42291 rješava sigurnosnu ranjivost zaobilaženje koja određenim korisnicima omogućuje postavljanje proizvoljnih vrijednosti atributa specifičnih objekata pohranjenih u servisu Active Directory (AD) ili Lightweight Directory Service (LDS). Da bi iskoristio tu ranjivost, korisnik mora imati ovlasti potrebne za stvaranje objekta izvedenog na računalu, kao što je korisnik dodijelio dozvole CreateChild za računalne objekte. Taj korisnik može stvoriti račun računala pomoću protokola Lightweight Directory Access Protocol (LDAP) za dodavanje poziva koji omogućuje pretežno dopušten pristup atributu securityDescriptor . Osim toga, autori i vlasnici mogu mijenjati atribute osjetljive na sigurnost nakon stvaranja računa. To se može iskoristiti za izvršavanje povećanja ovlasti u određenim scenarijima.
NapomenaLDS će evidentirati događaje 3050, 3053, 3051 i 3054 o statusu implicitnog pristupa objektima, baš kao i AD.
Ublažavanja u CVE-2021-42291 sastoje se od:
-
Dodatna provjera autentičnosti kada korisnici bez domene ili administratorskih prava za LDS pokušaju operaciju dodavanja LDAP-a za objekt izveden na računalu. To obuhvaća način nadzora prema zadanim postavkama koji nadzire kada se takvi pokušaji odvijaju bez ometanja zahtjeva i načina provedbe koji blokira takve pokušaje.
-
Privremeno uklanjanje ovlasti implicitnog vlasnika kada korisnici bez administratorskih prava domene pokušaju operaciju izmjene LDAP-a na atributu securityDescriptor . Provjera se provodi da bi se potvrdilo bi li korisniku bilo dopušteno pisanje sigurnosnog opisnika bez implicitnih ovlasti vlasnika. To obuhvaća i način nadzora prema zadanim postavkama koji nadzire kada se takvi pokušaji odvijaju bez ometanja zahtjeva i načina provedbe koji blokira takve pokušaje.
Akcija
Da biste zaštitili svoje okruženje i izbjegli prekide rada, učinite sljedeće:
-
Ažurirajte sve uređaje na kojima se hostira domenski kontroler servisa Active Directory ili uloga LDS servera instaliranjem najnovijih ažuriranja sustava Windows. Promjene u načinu rada nadzora po zadanom će se promijeniti na PC-jevima s ažuriranjima od 9. studenog 2021. ili novijim.
-
Pratite zapisnik događaja imeničkog servisa ili LDS-a za događaje 3044-3056 na domenskih kontrolera i poslužiteljima LDS-a koji imaju ažuriranja sustava Windows od 9. studenog 2021. ili novija. Prijavljeni događaji označavaju da korisnik može imati prekomjerne ovlasti za stvaranje računa računala s proizvoljnim sigurnosnim atributima. Prijavite sve neočekivane scenarije Microsoftu pomoću slučaja Premier ili Unified Support ili Centra za povratne informacije. (Primjer tih događaja nalazi se u odjeljku Novododani događaji.)
-
Ako nadzorni način rada ne otkrije neočekivane privilegije dovoljno dugo, prijeđite u način provedbe da biste bili sigurni da nema negativnih rezultata. Prijavite sve neočekivane scenarije Microsoftu pomoću slučaja Premier ili Unified Support ili Centra za povratne informacije.
Tempiranje ažuriranja sustava Windows
Ova ažuriranja sustava Windows bit će objavljena u dvije faze:
-
Početna implementacija – uvod u ažuriranje, uključujući nadzor prema zadanim postavkama, načini provođenja ili onemogućivanja koji se mogu konfigurirati pomoću atributa dSHeuristics .
-
Konačna implementacija – zadana implementacija.
9. studenog 2021.: početna faza implementacije
Početna faza implementacije započinje ažuriranjem sustava Windows izdanim 9. studenog 2021. Ovo izdanje dodaje nadzor dozvola koje su postavili korisnici bez administratorskih prava domene tijekom stvaranja ili izmjene računalnih ili računalnih objekata. Dodaje i način provođenja i onemogućivanje. Način rada za svaku šumu servisa Active Directory možete postaviti globalno pomoću atributa dSHeuristics .
(Ažurirano 15. 12. 2023.) Završna faza implementacije
Završna faza implementacije može započeti kada dovršite korake navedene u odjeljku Radnja. Da biste prešli na način provedbe, slijedite upute u odjeljku Vodiči za implementaciju da biste postavili 28. i 29. bitove na atributu dSHeuristics . Zatim pratite događaje 3044-3046. Oni prijavjuju kada je način provođenja blokirao operaciju dodavanja ili izmjene LDAP-a koja je možda prethodno bila dopuštena u načinu rada nadzora.
Smjernice za implementaciju
Postavljanje informacija o konfiguraciji
Nakon instalacije CVE-2021-42291, znakovi 28 i 29 atributa dSHeuristics kontroliraju ponašanje ažuriranja. Atribut dSHeuristics postoji unutar svake šume servisa Active Directory i sadrži postavke za cijelu šumu. Atribut dSHeuristics atribut je objekta "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD ) ili "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS). Dodatne informacije potražite u članku 6.1.1.2.4.1.2 dSHeuristics i atribut DS-Heuristics .
Character 28 – dodatne provjere autentičnosti za LDAP operacije dodavanja
0: način rada audit-by-Default je omogućen. Događaj se bilježi kada korisnici bez administratorskih prava domene za nove AD objekte izvedene na računalu postavite securityDescriptor ili druge atribute vrijednosti koje mogu dati prekomjerne dozvole, što može omogućiti buduće iskorištavanje.
1: Način provođenja je omogućen. Time se korisnicima bez administratorskih prava domene onemoguжava postavljanje securityDescriptora ili drugih atributa vrijednostima koje mogu dati prekomjerne dozvole za AD objekte izvedene na računalu. Događaj se bilježi i kada se to dogodi.
2: Onemogućuje ažurirani nadzor i ne nameće dodatnu sigurnost. Ne preporučuje se.
Primjer: Ako u vašoj šumi nije bilo omogućenih drugih postavki dSHeuristics i želite prijeći u način provođenja za dodatnu provjeru autentičnosti AuthZ, atribut dSHeuristics trebao bi biti postavljen na:
"0000000001000000000200000001"
Znakovi postavljeni u ovom slučaju su:
10. znak : mora biti postavljeno na 1 ako je atribut dSHeuristics najmanje 10 znakova
20. znak : mora biti postavljen na 2 ako je atribut dSHeuristics najmanje 20 znakova
28. znak : mora biti postavljeno na 1 da bi se omogućio način provođenja za dodatnu provjeru autentičnosti AuthZ
Znak 29 – privremeno uklanjanje implicitnog vlasnika za operacije izmjene LDAP-a
0: način rada audit-by-Default je omogućen. Događaj se bilježi kada korisnici bez administratorskih prava domene postavite securityDescriptor na vrijednosti koje mogu dati prekomjerne dozvole, što može omogućiti buduće iskorištavanje, na postojećim računalnim ad objektima.
1: Način provođenja je omogućen. Time se korisnicima bez administratorskih prava domene onemoguжava postavljanje securityDescriptora na vrijednosti koje mogu dati prekomjerne dozvole za postojeće AD objekte izvedene na računalu. Događaj se bilježi i kada se to dogodi.
2:Onemogućuje ažurirani nadzor i ne nameće dodatnu sigurnost. Ne preporučuje se.
Primjer: Ako ste u šumi postavili zastavicu dsHeuristics samo za dodatne provjere AuthZ-a i želite prijeći u način provedbe radi privremenog uklanjanja implicitnog vlasništva, atribut dSHeuristics trebao bi biti postavljen na:
"00000000010000000002000000011"
Znakovi postavljeni u ovom slučaju su:
10. znak: mora biti postavljen na 1 ako je atribut dSHeuristics najmanje 10 znakova
20. znak : mora biti postavljen na 2 ako je atribut dSHeuristics najmanje 20 znakova
28. znak : mora biti postavljeno na 1 da bi se omogućio način provođenja za dodatnu provjeru autentičnosti
AuthZ
29. znak : mora biti postavljeno na 1 da bi se omogućilo provođenje načina za privremeno uklanjanje implicitnog vlasništva
Novododani događaji
Ažuriranje sustava Windows od 9. studenog 2021. dodat će i nove zapisnike događaja.
Događaji promjene načina rada – dodatna provjera autentičnosti za LDAP operacije dodavanja
Događaji koji se javljaju kada se promijeni bit 28 atributa dSHeuristics , čime se mijenja način dodatnih provjera AuthZ za dio LDAP Dodavanje operacija ažuriranja.
|
Zapisnik događaja |
Imenički servisi |
|
Vrsta događaja |
Informativne |
|
ID događaja |
3050 |
|
Tekst događaja |
Direktorij je konfiguriran za nametanje autorizacije po atributu tijekom operacija dodavanja LDAP-a. To je najpouštija postavka i nije potrebna nikakva dodatna radnja. |
|
Zapisnik događaja |
Imenički servisi |
|
Vrsta događaja |
Upozorenje |
|
ID događaja |
3051 |
|
Tekst događaja |
Direktorij je konfiguriran tako da ne nameće autorizaciju po atributu tijekom operacija dodavanja LDAP-a. Događaji upozorenja bit će zabilježeni, ali zahtjevi neće biti blokirani. Ova postavka nije sigurna i treba se koristiti samo kao privremeni korak otklanjanja poteškoća. Pregledajte predložena ublažavanja u vezi u nastavku. |
|
Zapisnik događaja |
Imenički servisi |
|
Vrsta događaja |
Pogreška |
|
ID događaja |
3052 |
|
Tekst događaja |
Direktorij je konfiguriran tako da ne nameće autorizaciju po atributu tijekom operacija dodavanja LDAP-a. Događaji se neće bilježiti i neće biti blokiranih zahtjeva. Ova postavka nije sigurna i treba se koristiti samo kao privremeni korak otklanjanja poteškoća. Pregledajte predložena ublažavanja u vezi u nastavku. |
Događaji promjene načina rada – privremeno uklanjanje implicitnih vlasničkih prava
Događaji koji se javljaju kada se promijeni bit 29 atributa dSHeuristics , čime se mijenja način privremenog uklanjanja dijela ažuriranja s pravima implicitnog vlasnika.
|
Zapisnik događaja |
Imenički servisi |
|
Vrsta događaja |
Informativne |
|
ID događaja |
3053 |
|
Tekst događaja |
Direktorij je konfiguriran tako da blokira implicitne vlasničke ovlasti prilikom početnog postavljanja ili izmjene atributa nTSecurityDescriptor tijekom operacija dodavanja i izmjene LDAP-a. To je najpouštija postavka i nije potrebna nikakva dodatna radnja. |
|
Zapisnik događaja |
Imenički servisi |
|
Vrsta događaja |
Upozorenje |
|
ID događaja |
3054 |
|
Tekst događaja |
Direktorij je konfiguriran tako da dopušta implicitne vlasničke ovlasti prilikom početnog postavljanja ili izmjene atributa nTSecurityDescriptor tijekom LDAP operacija dodavanja i izmjene. Događaji upozorenja bit će zabilježeni, ali zahtjevi neće biti blokirani. Ova postavka nije sigurna i treba se koristiti samo kao privremeni korak otklanjanja poteškoća. |
|
Zapisnik događaja |
Imenički servisi |
|
Vrsta događaja |
Pogreška |
|
ID događaja |
3055 |
|
Tekst događaja |
Direktorij je konfiguriran tako da dopušta implicitne vlasničke ovlasti prilikom početnog postavljanja ili izmjene atributa nTSecurityDescriptor tijekom LDAP operacija dodavanja i izmjene. Događaji se neće bilježiti i neće biti blokiranih zahtjeva. Ova postavka nije sigurna i treba se koristiti samo kao privremeni korak otklanjanja poteškoća. |
Događaji u načinu nadzora
Događaji koji se pojavljuju u načinu nadzora radi evidentiranja potencijalnih sigurnosnih problema s LDAP operacijom dodavanja ili izmjene.
|
Zapisnik događaja |
Imenički servisi |
|
Vrsta događaja |
Upozorenje |
|
ID događaja |
3047 |
|
Tekst događaja |
Imenički servis otkrio je zahtjev za dodavanje LDAP-a za sljedeći objekt koji bi inače bio blokiran iz sljedećih sigurnosnih razloga. Klijent nema dozvolu za pisanje jednog ili više atributa uključenih u zahtjev za dodavanje na temelju zadanog spojenog sigurnosnog opisnika. Zahtjev je dopušten za nastavak jer je direktorij trenutno konfiguriran tako da je u načinu samo nadzora za ovu sigurnosnu provjeru. DN objekta: <DN objekta> Klasa objekta: <objekt objektaClass> Korisnik: <korisnik koji je pokušao dodati LDAP> IP adresa klijenta: <IP adrese podnositelja zahtjeva> Sigurnosna desc: <SD koji je pokušao> |
|
Zapisnik događaja |
Imenički servisi |
|
Vrsta događaja |
Upozorenje |
|
ID događaja |
3048 |
|
Tekst događaja |
Imenički servis otkrio je zahtjev za dodavanje LDAP-a za sljedeći objekt koji bi inače bio blokiran iz sljedećih sigurnosnih razloga. Klijent je u zahtjev za dodavanje uključio atribut nTSecurityDescriptor, ali nije imao eksplicitne dozvole za pisanje jednog ili više dijelova novog sigurnosnog deskriptora na temelju zadanog spojenog sigurnosnog opisnika. Zahtjev je dopušten za nastavak jer je direktorij trenutno konfiguriran tako da je u načinu samo nadzora za ovu sigurnosnu provjeru. DN objekta: <DN objekta> Klasa objekta: <objekt objektaClass> Korisnik: <korisnik koji je pokušao dodati LDAP> IP adresa klijenta: <IP adrese podnositelja zahtjeva> |
|
Zapisnik događaja |
Imenički servisi |
|
Vrsta događaja |
Upozorenje |
|
ID događaja |
3049 |
|
Tekst događaja |
Imenički servis otkrio je zahtjev za izmjenu LDAP-a za sljedeći objekt koji bi inače bio blokiran iz sljedećih sigurnosnih razloga. Klijent je u zahtjev za dodavanje uključio atribut nTSecurityDescriptor, ali nije imao eksplicitne dozvole za pisanje jednog ili više dijelova novog sigurnosnog deskriptora na temelju zadanog spojenog sigurnosnog opisnika. Zahtjev je dopušten za nastavak jer je direktorij trenutno konfiguriran tako da je u načinu samo nadzora za ovu sigurnosnu provjeru. DN objekta: <DN objekta> Klasa objekta: <objekt objektaClass> Korisnik: <korisnik koji je pokušao dodati LDAP> IP adresa klijenta: <IP adrese podnositelja zahtjeva> |
|
Zapisnik događaja |
Imenički servisi |
|
Vrsta događaja |
Upozorenje |
|
ID događaja |
3056 |
|
Tekst događaja |
Imenički servis obradio je upit za atribut sdRightsEffective na objektu navedenom u nastavku. Vraćena maska za pristup WRITE_DAC, ali samo zato što je direktorij konfiguriran tako da dopušta implicitne vlasničke privilegije koje nisu sigurne postavke. DN objekta: <DN objekta> Korisnik: <korisnik koji je pokušao dodati LDAP> IP adresa klijenta: <IP adrese podnositelja zahtjeva> |
Način provođenja – LDAP Dodavanje pogrešaka
Događaji koji se pojavljuju kada je odbijena operacija dodavanja LDAP-a.
|
Zapisnik događaja |
Imenički servisi |
|
Vrsta događaja |
Upozorenje |
|
ID događaja |
3044 |
|
Tekst događaja |
Imenički servis je odbio zahtjev za dodavanje LDAP-a za sljedeći objekt. Zahtjev je odbijen jer klijent nema dozvolu za pisanje jednog ili više atributa uključenih u zahtjev za dodavanje na temelju zadanog spojenog sigurnosnog opisnika. DN objekta: <DN objekta> Klasa objekta: <objekt objektaClass> Korisnik: <korisnik koji je pokušao dodati LDAP> IP adresa klijenta: <IP adrese podnositelja zahtjeva> Sigurnosna desc: <SD koji je pokušao> |
|
Zapisnik događaja |
Imenički servisi |
|
Vrsta događaja |
Upozorenje |
|
ID događaja |
3045 |
|
Tekst događaja |
Imenički servis je odbio zahtjev za dodavanje LDAP-a za sljedeći objekt. Zahtjev je odbijen jer je klijent u zahtjev za dodavanje uključio atribut nTSecurityDescriptor, ali nije imao izričitu dozvolu za pisanje jednog ili više dijelova novog sigurnosnog deskriptora na temelju zadanog spojenog sigurnosnog opisnika. DN objekta: <DN objekta> Klasa objekta: <objekt objektaClass> Korisnik: <korisnik koji je pokušao dodati LDAP> IP adresa klijenta: <IP adrese podnositelja zahtjeva> |
Način provođenja – LDAP izmjena neuspjelih izmjena
Događaji koji se pojavljuju kada je odbijena operacija izmjene LDAP-a.
|
Zapisnik događaja |
Imenički servisi |
|
Vrsta događaja |
Upozorenje |
|
ID događaja |
3046 |
|
Tekst događaja |
Imenički servis je odbio zahtjev za izmjenu LDAP-a za sljedeći objekt. Zahtjev je odbijen jer je klijent u zahtjev za izmjenu uključio atribut nTSecurityDescriptor, ali nije imao eksplicitne dozvole za pisanje jednog ili više dijelova novog sigurnosnog deskriptora na temelju postojećeg sigurnosnog opisnika objekta. DN objekta: <DN objekta> Klasa objekta: <objekt objektaClass> Korisnik: <korisnik koji je pokušao dodati LDAP> IP adresa klijenta: <IP adrese podnositelja zahtjeva> |
Najčešća pitanja
P1 Što se događa ako imam mješavinu domenskog kontrolera servisa Active Directory koji su ažurirani i nisu ažurirani?
A1 DC-ovi koji se ne ažuriraju neće evidentirati događaje vezane uz tu ranjivost.
Q2 Što trebam učiniti za kontrolere Read-Only domene (RODC-ovi)?
A2 Ništa; LDAP operacije dodavanja i izmjene ne mogu ciljati RODC-ove.
Q3 Imam proizvod ili proces treće strane koji ne uspijeva nakon omogućivanja načina provođenja. Moram li dodijeliti prava administratoru servisa ili korisničke domene?
A3 Obično ne preporučujemo dodavanje servisa ili korisnika u grupu Administratori domene kao prvo rješenje tog problema. Pregledajte zapisnike događaja da biste vidjeli koja je određena dozvola potrebna i razmislite o delegiranju odgovarajuće ograničenih prava za tog korisnika na zasebnoj organizacijskoj jedinici određenoj za tu svrhu.
Q4 Vidim događaje nadzora i za poslužitelje LDS-a. Što je uzrok tome?
A4Sve gore navedeno odnosi se i na AD LDS, iako je vrlo neobično imati računalne objekte u LDS-u. Potrebno je poduzeti i korake ublažavanja da bi se omogućila zaštita za AD LDS kada nadzorni način ne otkrije neočekivane privilegije.
