DIPERBARUI 12/7/2022

Ringkasan

CVE-2021-42287 membahas kerentanan bypass keamanan yang mempengaruhi Sertifikat Atribut Hak Istimewa (PAC) Kerberos dan memungkinkan penyerang potensial untuk meniru pengontrol domain. Untuk memanfaatkan kerentanan ini, akun domain yang disusupi mungkin menyebabkan Key Distribution Center (KDC) membuat tiket layanan dengan tingkat hak istimewa yang lebih tinggi daripada akun yang disusupi. Ini menyelesaikan ini dengan mencegah KDC mengidentifikasi akun mana tiket layanan hak istimewa yang lebih tinggi.

Proses autentikasi yang disempurnakan dalam CVE-2021-42287 menambahkan informasi baru tentang permintaan asli ke PACs of Kerberos Ticket-Granting Tickets (TGT). Nantinya, ketika tiket layanan Kerberos dibuat untuk sebuah akun, proses autentikasi baru akan memverifikasi bahwa akun yang meminta TGT adalah akun yang sama yang dirujuk dalam tiket layanan.

Setelah menginstal pembaruan Windows tertanggal 9 November 2021 atau yang lebih baru, PAC akan ditambahkan ke TGT dari semua akun domain, bahkan yang sebelumnya memilih untuk menolak PAC.

Ambil tindakan

Untuk melindungi lingkungan Anda dan menghindari pemadaman, selesaikan langkah-langkah berikut:

  1. Perbarui semua perangkat yang menghosting peran pengontrol domain Direktori Aktif dengan menginstal pembaruan keamanan 9 November 2021 dan pembaruan out-of-band (OOB) 14 November 2021. Temukan nomor KB OOB untuk OS tertentu di bawah ini.

    OS

    Nomor KB

    Windows Server 2016

    5008601

    Windows Server 2019

    5008602

    Windows Server 2012 R2

    5008603

    Windows Server 2012

    5008604

    Windows Server 2008 R2 SP1

    5008605

    Windows Server 2008 SP2

    5008606

  2. Setelah menginstal pembaruan keamanan 9 November 2021 dan pembaruan OOB 14 November 2021 di semua pengontrol domain Direktori Aktif setidaknya selama 7 hari, kami sangat menyarankan agar Anda mengaktifkan mode Penegakan pada semua pengontrol domain Direktori Aktif.

  3. Dimulai dengan pembaruan Fase Penegakan (diperbarui) 11 Oktober 2022, mode Penegakan akan diaktifkan di semua pengontrol domain Windows dan akan diperlukan.

Pengaturan waktu pembaruan Windows

Updates Windows ini akan dirilis dalam tiga fase:

  1. Penyebaran awal – Pengenalan pembaruan, serta kunci registri PacRequestorEnforcement

  2. Penyebaran kedua – Penghapusan nilai PacRequestorEnforcement 0 (kemampuan untuk menonaktifkan kunci registri)

  3. Tahap penerapan – Mode penerapan diaktifkan. Penghapusan kunci registri PacRequestorEnforcement

9 November 2021: Fase penyebaran awal

Fase penyebaran awal dimulai dengan pembaruan Windows yang dirilis pada 9 November 2021. Rilis ini:

  • Menambahkan perlindungan terhadap CVE-2021-42287

  • Menambahkan dukungan untuk nilai registri PacRequestorEnforcement , yang memungkinkan Anda untuk bertransisi ke fase Penerapan lebih awal

Mitigation terdiri dari penginstalan pembaruan Windows di semua perangkat yang menghosting peran pengontrol domain dan pengontrol domain baca-saja (RODCs).

(Diperbarui) 12 Juli 2022: Tahap penyebaran kedua

Fase penyebaran kedua dimulai dengan pembaruan Windows yang dirilis pada 12 Juli 2022. Fase ini menghapus pengaturan PacRequestorEnforcement 0. Mengatur PacRequestorEnforcement ke 0 setelah pembaruan ini diinstal akan memiliki efek yang sama seperti mengatur PacRequestorEnforcement ke 1. Pengontrol domain (DC) akan berada dalam mode Penyebaran.

Catatan Fase ini tidak diperlukan jika PacRequestorEnforcement tidak pernah diatur ke 0 di lingkungan Anda. Fase ini membantu memastikan bahwa pelanggan yang mengatur PacRequestorEnforcement ke 0berpindah ke pengaturan 1 sebelum tahap Penerapan.

Note Pembaruan ini mengasumsikan bahwa semua pengontrol domain diperbarui dengan pembaruan Windows 9 November 2021 atau yang lebih baru.

(Diperbarui) 11 Oktober 2022: Fase penerapan

Rilis 11 Oktober 2022 akan memindahkan semua pengontrol domain Direktori Aktif ke dalam fase Penerapan. Fase Penerapan juga akan menghapus kunci registri PacRequestorEnforcement sepenuhnya. Sebagai hasilnya, pengontrol domain Windows yang telah menginstal pembaruan 11 Oktober 2022 tidak akan kompatibel lagi dengan:

  • Pengontrol domain yang tidak menginstal pembaruan 9 November 2021 atau yang lebih baru.

  • Pengontrol domain yang menginstal pembaruan 9 November 2021 atau yang lebih baru tetapi belum menginstal pembaruan 12 Juli 2022 ANDyang memiliki nilai registri PacRequestorEnforcement 0.

Namun, pengontrol domain Windows yang telah menginstal pembaruan 11 Oktober 2022 akan tetap kompatibel dengan:

  • Pengontrol domain Windows yang telah menginstal pembaruan 11 Oktober 2022 atau yang lebih baru

  • Pengontrol domain jendela yang telah menginstalpembaruan 9 November 2021 atau yang lebih baru dan memiliki nilai PacRequestorEnforcement atau 1 atau 2

Informasi kunci registri

Setelah menginstal perlindungan CVE-2021-42287 di pembaruan Windows yang dirilis antara 9 November 2021 dan 14 Juni 2022, kunci registri berikut akan tersedia:

Subkey registri

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc

Nilai

PacRequestorEnforcement

Tipe data

REG_DWORD

Data

1: Tambahkan PAC baru ke pengguna yang diautentikasi menggunakan pengontrol domain Direktori Aktif yang menginstal pembaruan 9 November 2021 atau yang lebih baru. Saat mengautentikasi, jika pengguna memiliki PAC baru, PAC akan divalidasi. Jika pengguna tidak memiliki PAC baru, tidak ada tindakan lebih lanjut yang dilakukan. Pengontrol domain Direktori Aktif dalam mode ini berada dalam fase Penyebaran.

2: Tambahkan PAC baru ke pengguna yang diautentikasi menggunakan pengontrol domain Direktori Aktif yang menginstal pembaruan 9 November 2021 atau yang lebih baru. Saat mengautentikasi, jika pengguna memiliki PAC baru, PAC akan divalidasi. Jika pengguna tidak memiliki PAC baru, autentikasi ditolak. Pengontrol domain Direktori Aktif dalam mode ini berada dalam fase Penerapan.

0: Menonaktifkan kunci registri. Tidak disarankan. Pengontrol domain Direktori Aktif dalam mode ini berada dalam fase Nonaktif. Nilai ini tidak akan ada setelah pembaruan 12 Juli 2022 atau yang lebih baru.

Penting Pengaturan 0 tidak kompatibel dengan pengaturan 2. Kegagalan berselang-seling mungkin terjadi jika kedua pengaturan digunakan di dalam hutan. Jika pengaturan 0 digunakan, kami menyarankan agar Anda melakukan transisi pengaturan 0 (Nonaktifkan) untuk mengatur 1 (Penyebaran) setidaknya selama seminggu sebelum berpindah ke pengaturan 2 (Mode penerapan).

Default

1 (ketika kunci registri tidak diatur)

Apakah perlu memulai ulang?

Tidak

Mengaudit Kejadian

Pembaruan Windows 9 November 2021 juga akan menambahkan log kejadian baru.

PAC tanpa atribut

KDC menemukan TGT tanpa buffer Atribut PAC. Kemungkinan bahwa KDC lain dalam log tidak berisi pembaruan atau berada dalam mode Nonaktif.

Log Kejadian

Sistem

Tipe Kejadian

Peringatan

Sumber Kejadian

Kdcsvc

ID Kejadian

35

Teks Acara

Key Distribution Center (KDC) mengalami tiket pemberian tiket (TGT) dari KDC lain ("<> Nama KDC") yang tidak berisi bidang atribut PAC. 

Tiket tanpa PAC

KDC menemukan TGT atau tiket bukti lainnya tanpa PAC. Hal ini mencegah KDC memberlakukan pemeriksaan keamanan pada tiket.

Log Kejadian

Sistem

Tipe Kejadian

Peringatan selama Fase Penyebaran

Kesalahan selama Fase Penerapan

Sumber Kejadian

Kdcsvc

ID Kejadian

36

Teks Acara

Key Distribution Center (KDC) menemukan tiket yang tidak berisi PAC saat memproses permintaan tiket lain. Hal ini mencegah pemeriksaan keamanan berjalan dan dapat membuka kerentanan keamanan. 

Klien: <Nama Domain>\<Nama Pengguna>

Tiket untuk: <Nama Layanan>

Tiket tanpa Pemohon

KDC menemukan TGT atau tiket bukti lainnya tanpa buffer Permintaan PAC. Kemungkinan bahwa KDC yang membangun PAC tidak berisi pembaruan atau berada dalam mode Dinonaktifkan.

Catatan Lihat bagian Masalah umum untuk informasi penting tentang Acara 37.

Log Kejadian

Sistem

Tipe Kejadian

Peringatan selama Fase Penyebaran

Kesalahan selama Fase Penerapan

Sumber Kejadian

Kdcsvc

ID Kejadian

37

Teks Acara

Key Distribution Center (KDC) menemukan tiket yang tidak berisi informasi tentang akun yang meminta tiket saat memproses permintaan tiket lain. Hal ini mencegah pemeriksaan keamanan berjalan dan dapat membuka kerentanan keamanan. 

Tiket PAC dibuat oleh: <nama KDC>

 Klien: <Nama Domain>\<> Nama Klien

Tiket untuk: <Nama Layanan>

Ketidakcocokan Pemohon

KDC menemukan TGT atau tiket bukti lainnya, dan akun yang meminta TGT atau tiket bukti tidak cocok dengan akun tempat tiket layanan dibuat.

Log Kejadian

Sistem

Tipe Kejadian

Kesalahan

Sumber Kejadian

Kdcsvc

ID Kejadian

38

Teks Acara

Key Distribution Center (KDC) menemukan tiket yang berisi informasi tidak konsisten tentang akun yang meminta tiket. Ini bisa berarti bahwa akun telah diganti namanya sejak tiket diterbitkan, yang mungkin telah menjadi bagian dari percobaan eksploitasi. 

Ticket PAC dibangun oleh: <Kdc Name>

Klien: <Nama Domain>\<Nama Pengguna>

Tiket untuk: <Nama Layanan>

Meminta SID Akun dari Direktori Aktif: <> SID

Meminta SID Akun dari Tiket: <SID>

Masalah umum

Gejala

Penyelesaian Masalah

Setelah menginstal pembaruan Windows yang dirilis 9 November 2021 atau yang lebih baru pada pengontrol domain (DC), beberapa pelanggan mungkin melihat audit Kejadian ID 37 baru dicatat setelah pengaturan kata sandi tertentu atau mengubah operasi seperti:

  • Memperbarui atau Memperbaiki CNO atau VCO kluster failover

  • Mengatur ulang kata sandi pengguna dari konsol Pengguna dan Komputer Direktori Aktif (dsa.msc)

  • Membuat pengguna baru dari konsol Pengguna dan Komputer Direktori Aktif (dsa.msc)

  • Mengubah kata sandi untuk perangkat pihak ketiga yang digabungkan dengan domain

Jika Anda tidak melihat EVENT ID 37 setelah menginstal pembaruan Windows yang dirilis 9 November 2021 atau yang lebih baru selama seminggu dan PacRequestorEnforcement adalah '1' atau '2', maka lingkungan Anda tidak terpengaruh.

Jika Anda mengatur PacRequestorEnforcement = 1, ID Kejadian 37 dicatat sebagai peringatan, tetapi permintaan perubahan kata sandi akan berhasil dan tidak akan memengaruhi pengguna.

Jika Anda mengatur PacRequestorEnforcement = 2, permintaan perubahan kata sandi akan gagal dan akan menyebabkan operasi yang tercantum di atas juga gagal.

Masalah ini telah diatasi dalam pembaruan berikut:

Pertanyaan umum

Q1 Apa yang terjadi jika saya memiliki campuran pengontrol domain Direktori Aktif yang diperbarui dan tidak diperbarui?

A1. Campuran pengontrol domain yang diperbarui dan tidak diperbarui tetapi memiliki nilai kunci registri PacRequestorEnforcement default 1 kompatibel satu sama lain. Namun, Microsoft sangat menyarankan untuk tidak memiliki pengontrol domain yang diperbarui dan tidak diperbarui dalam lingkungan.

T2 Apa yang terjadi jika saya memiliki campuran pengontrol domain Direktori Aktif yang memiliki berbagai nilai PacRequestorEnforcement?

A2. Campuran pengontrol domain yang memiliki nilai PacRequestorEnforcement 0 dan 1 kompatibel satu sama lain. Campuran pengontrol domain yang memiliki nilai PacRequestorEnforcement 1 dan 2 kompatibel satu sama lain. Campuran pengontrol domain yang memiliki nilai PacRequestorEnforcement 0 dan 2 tidak kompatibel satu sama lain dan mungkin menyebabkan kegagalan intermiten. Silakan lihat bagian Informasi kunci Registri untuk detail selengkapnya.

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?

Terima kasih atas umpan balik Anda!

×