KB5004442 – A Windows DCOM Server biztonsági szolgáltatás megkerülésével kapcsolatos változások kezelése (CVE-2021-26414)

FRISSÍTVE 2023. március 20. – Rendelkezésre állás szakasz

Összefoglalás

Az elosztott összetevő-objektummodell (DCOM) távoli protokollja egy olyan protokoll, amely távoli eljáráshívásokkal (RPC-k) teszi közzé az alkalmazásobjektumokat. A DCOM a hálózati eszközök szoftverösszetevői közötti kommunikációra szolgál. A CVE-2021-26414 esetében a DCOM-ban módosításokat kellett végrehajtani. Ezért azt javasoljuk, hogy ellenőrizze, hogy a környezetben a DCOM-ot vagy RPC-t használó ügyfél- vagy kiszolgálóalkalmazások a várt módon működnek-e, ha a korlátozási módosítások engedélyezve van.

Megjegyzés Javasoljuk, hogy telepítse a legújabb elérhető biztonsági frissítést. Speciális védelmet nyújtanak a legújabb biztonsági fenyegetések ellen. Emellett olyan képességeket is biztosítanak, amelyeket a migrálás támogatásához adtunk hozzá. A DCOM megerősítésének módjáról további információt és kontextust a DCOM-hitelesítés megerősítését ismertető cikkben talál: tudnivalók.

A DCOM-frissítések első fázisa 2021. június 8-án jelent meg. Ebben a frissítésben a DCOM-korlátozás alapértelmezés szerint le lett tiltva. Az engedélyezésükhöz módosítsa a beállításjegyzéket a lenti "Beállításjegyzék-beállítás a korlátozási módosítások engedélyezéséhez vagy letiltásához" című szakaszban leírtak szerint. A DCOM-frissítések második fázisa 2022. június 14-én jelent meg. Ez a korlátozás alapértelmezés szerint engedélyezve volt, de a beállításkulcs-beállításokkal továbbra is letiltotta a módosításokat. A DCOM-frissítések utolsó fázisa 2023 márciusában jelenik meg. Így a DCOM-korlátozás engedélyezve marad, és nem lesz letiltható.

Idővonal

Frissítés kiadása	Viselkedésváltozás
2021. június 8.	1. fázisú kiadás – A módosítások megerősítését alapértelmezés szerint letiltja, de lehetővé teszi számukra egy beállításkulcs használatával.
2022. június 14.	2. fázisú kiadás – A módosítások alapértelmezés szerint engedélyezve lesznek, de letilthatók egy beállításkulcs használatával.
2023. március 14.	3. fázisú kiadás – A módosítások alapértelmezés szerint engedélyezve lesznek, és nem tilthatók le. Ezen a ponton meg kell oldania a környezetében lévő módosításokkal és alkalmazásokkal kapcsolatos kompatibilitási problémákat.

A DCOM kompatibilitásának tesztelése

Új DCOM-hibaesemények

A DCOM biztonsági korlátozási módosításainak engedélyezése után kompatibilitási problémákkal rendelkező alkalmazások azonosításához új DCOM-hibaeseményeket adtunk hozzá a rendszernaplóhoz. Tekintse meg az alábbi táblázatokat. A rendszer naplózza ezeket az eseményeket, ha azt észleli, hogy egy DCOM-ügyfélalkalmazás olyan hitelesítési szinttel próbál aktiválni egy DCOM-kiszolgálót, amely kisebb, mint RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. A kiszolgálóoldali eseménynaplóból nyomon követheti az ügyféleszközt, és ügyféloldali eseménynaplókkal megkeresheti az alkalmazást.

Kiszolgálói események – Azt jelzi, hogy a kiszolgáló alacsonyabb szintű kéréseket kap

Eseményazonosító	Üzenetet
10036	"A kiszolgálóoldali hitelesítési szintű házirend nem engedélyezi a(z) %1\%2 biztonsági azonosítót (%3) a(z) %4 címről a DCOM-kiszolgáló aktiválásához. Emelje meg az aktiválási hitelesítési szintet legalább az ügyfélalkalmazásban RPC_C_AUTHN_LEVEL_PKT_INTEGRITY." (%1 – tartomány, %2 – felhasználónév, %3 – felhasználói azonosító, %4 – ügyfél IP-címe)

Eseményazonosító

Üzenetet

10036

"A kiszolgálóoldali hitelesítési szintű házirend nem engedélyezi a(z) %1\%2 biztonsági azonosítót (%3) a(z) %4 címről a DCOM-kiszolgáló aktiválásához. Emelje meg az aktiválási hitelesítési szintet legalább az ügyfélalkalmazásban RPC_C_AUTHN_LEVEL_PKT_INTEGRITY."

(%1 – tartomány, %2 – felhasználónév, %3 – felhasználói azonosító, %4 – ügyfél IP-címe)

Ügyfélesemények – Azt jelzi, hogy melyik alkalmazás küld alacsonyabb szintű kéréseket

Eseményazonosító	Üzenetet
10037	"A(z) %2 PID-vel rendelkező %1 alkalmazás a(z) %4 számítógépen a(z) %3 CLSID aktiválását kéri a(z) %5 hitelesítési szint explicit beállításával. A DCOM által megkövetelt legalacsonyabb aktiválási hitelesítési szint az 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Az aktiválási hitelesítési szint megemeléséhez forduljon az alkalmazás gyártójához."
10038	"A(z) %2 PID-vel rendelkező %1 alkalmazás a(z) %3 CLSID aktiválását kéri a(z) %4 számítógépen a(z) %5 alapértelmezett aktiválási hitelesítési szinttel. A DCOM által megkövetelt legalacsonyabb aktiválási hitelesítési szint az 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Az aktiválási hitelesítési szint megemeléséhez forduljon az alkalmazás gyártójához." (%1 – Alkalmazás elérési útja, %2 – Alkalmazás piD-azonosítója, %3 – az alkalmazás által aktiválni kívánt COM-osztály CLSID azonosítója, %4 – Számítógép neve, %5 – Hitelesítési szint értéke)

Eseményazonosító

Üzenetet

10037

"A(z) %2 PID-vel rendelkező %1 alkalmazás a(z) %4 számítógépen a(z) %3 CLSID aktiválását kéri a(z) %5 hitelesítési szint explicit beállításával. A DCOM által megkövetelt legalacsonyabb aktiválási hitelesítési szint az 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Az aktiválási hitelesítési szint megemeléséhez forduljon az alkalmazás gyártójához."

10038

"A(z) %2 PID-vel rendelkező %1 alkalmazás a(z) %3 CLSID aktiválását kéri a(z) %4 számítógépen a(z) %5 alapértelmezett aktiválási hitelesítési szinttel. A DCOM által megkövetelt legalacsonyabb aktiválási hitelesítési szint az 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Az aktiválási hitelesítési szint megemeléséhez forduljon az alkalmazás gyártójához."

(%1 – Alkalmazás elérési útja, %2 – Alkalmazás piD-azonosítója, %3 – az alkalmazás által aktiválni kívánt COM-osztály CLSID azonosítója, %4 – Számítógép neve, %5 – Hitelesítési szint értéke)

Rendelkezésre állás

Ezek a hibaesemények csak a Windows-verziók egy részhalmazához érhetők el; lásd az alábbi táblázatot.

Windows-verzió	Ezek a dátumok a következő dátumokon érhetők el:
Windows Server 2022	2021. szeptember 27. KB5005619
Windows 10, 2004-es verzió, Windows 10, 20H2-es verzió, Windows 10, 21H1-es verzió	2021. szeptember 1. KB5005101
Windows 10, 1909-es verzió	2021. augusztus 26. KB5005103
Windows Server 2019, Windows 10, 1809-es verzió	2021. augusztus 26. KB5005102
Windows Server 2016, Windows 10, 1607-es verzió	2021. szeptember 14. KB5005573
Windows Server 2012 R2 és Windows 8.1	2021. október 12. KB5006714
Windows 11, 22H2-es verzió	2022. szeptember 30., kedd KB5017389

Ügyféloldali kérés automatikus emelési javítása

Hitelesítési szint az összes nem névtelen aktiválási kéréshez

Az alkalmazáskompatibilitási problémák csökkentése érdekében automatikusan megemeltük a Windows-alapú DCOM-ügyfelektől érkező nem névtelen aktiválási kérelmek hitelesítési szintjét, hogy legalább RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Ezzel a módosítással a legtöbb Windows-alapú DCOM-ügyfélkérés automatikusan elfogadva lesz, ha a DCOM-beli korlátozási módosítások engedélyezve vannak a kiszolgálóoldalon a DCOM-ügyfél további módosítása nélkül. Emellett a legtöbb Windows DCOM-ügyfél automatikusan együttműködik a DCOM-beli módosításokkal a kiszolgálóoldalon, a DCOM-ügyfél további módosítása nélkül.

Megjegyzés Ez a javítás továbbra is szerepelni fog az összegző frissítésekben.

Javításfrissítés idővonala

A 2022 novemberében megjelent első kiadás óta az automatikus emelési javítás néhány frissítést tartalmazott.

2022. novemberi frissítés
- Ez a frissítés automatikusan megemelte az aktiválás hitelesítési szintjét a csomagintegritásra. Ez a módosítás alapértelmezés szerint le lett tiltva Windows Server 2016 és Windows Server 2019 rendszeren.
2022. decemberi frissítés
- A novemberi módosítás alapértelmezés szerint engedélyezve lett a Windows Server 2016 és a Windows Server 2019 esetében.
- Ez a frissítés kijavított egy hibát is, amely hatással volt az Windows Server 2016 és a Windows Server 2019 névtelen aktiválására.

2023. januári frissítés
- Ez a frissítés kijavított egy hibát, amely hatással volt a Windows Server 2008 és Windows 10 platformokon történő névtelen aktiválásra (a kezdeti verzió 2015 júliusában jelent meg).

Ha 2023 januárjától telepítette a kumulatív biztonsági frissítéseket az ügyfelekre és a kiszolgálókra, akkor a legújabb automatikus emelőjavítás teljes mértékben engedélyezve lesz.

Beállításjegyzék-beállítás a korlátozási módosítások engedélyezéséhez vagy letiltásához

A CVE-2021-26414 korlátozási módosításainak engedélyezését vagy letiltását lehetővé tevő idővonal-szakaszokban a következő beállításkulcsot használhatja:

Elérési út: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
Érték neve: "RequireIntegrityActivationAuthenticationLevel"
Típus: dword
Értékadatok: default= 0x00000000 azt jelenti, hogy le van tiltva. 0x00000001 azt jelenti, hogy engedélyezve van. Ha ez az érték nincs definiálva, alapértelmezés szerint engedélyezve lesz.

Megjegyzés Hexadecimális formátumban kell megadnia az Értékadatokat.

Fontos A beállításkulcs érvénybe lépéséhez újra kell indítania az eszközt.

Megjegyzés A fenti beállításkulcs engedélyezésével a DCOM-kiszolgálók Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY vagy magasabb szintű aktiválást kényszerítenek ki. Ez nincs hatással a névtelen aktiválásra (hitelesítési szintű aktiválás RPC_C_AUTHN_LEVEL_NONE). Ha a DCOM-kiszolgáló engedélyezi a névtelen aktiválást, akkor is engedélyezve lesz, még akkor is, ha a DCOM-korlátozási módosítások engedélyezve vannak.

Megjegyzés Ez a beállításazonosító alapértelmezés szerint nem létezik; létre kell hoznia. A Windows felolvassa, ha létezik, és nem írja felül.

Megjegyzés A későbbi frissítések telepítése nem módosítja és nem távolítja el a meglévő beállításjegyzékbeli bejegyzéseket és beállításokat.