Diperbarui 12/04/2023 - Perubahan tanggal fase penyebaran akhir
Rangkuman
CVE-2021-42291 membahas kerentanan bypass keamanan yang memungkinkan pengguna tertentu untuk menetapkan nilai semena-mena pada atribut sensitif keamanan dari objek tertentu yang disimpan di Direktori Aktif (AD). Untuk mengeksploitasi kerentanan ini, pengguna harus memiliki hak istimewa yang memadai untuk membuat akun komputer, seperti pengguna yang diberi izin CreateChild untuk objek komputer. Pengguna tersebut dapat membuat akun komputer menggunakan Protokol Akses Direktori Ringan (LDAP, Lightweight Directory Access Protocol) Tambahkan panggilan yang memungkinkan akses yang terlalu permisif ke atribut securityDescriptor . Selain itu, pembuat dan pemilik dapat mengubah atribut sensitif keamanan setelah membuat akun.
Mitigasi dalam CVE-2021-42291 terdiri dari:
-
Verifikasi otorisasi tambahan ketika pengguna tanpa hak administrator domain mencoba operasi Tambahkan LDAP untuk objek yang berasal dari komputer. Ini termasuk mode Audit-Menurut-Default yang mengaudit ketika upaya tersebut terjadi tanpa mengganggu permintaan dan mode Penegakan yang memblokir upaya tersebut.
-
Penghapusan sementara hak istimewa Pemilik Implisit ketika pengguna tanpa hak administrator domain mencoba operasi LDAP Modifikasi pada atribut securityDescriptor . Verifikasi terjadi untuk mengonfirmasi apakah pengguna akan diizinkan untuk menulis deskriptor keamanan tanpa hak istimewa Pemilik Implisit. Ini juga mencakup mode Audit-Menurut-Default yang mengaudit ketika upaya tersebut terjadi tanpa mengganggu permintaan dan mode Penegakan yang memblokir upaya tersebut.
Ambil Tindakan
Untuk melindungi lingkungan Anda dan menghindari pemadaman, selesaikan langkah-langkah berikut:
-
Perbarui semua perangkat yang menghosting peran pengontrol domain Direktori Aktif dengan menginstal pembaruan 9 November 2021. Tindakan ini akan menerapkan perubahan dalam mode Audit secara default.
-
Pantau log kejadian Layanan Direktori untuk kejadian 3044-3056 pada pengontrol domain yang memiliki pembaruan Windows 9 November 2021 atau yang lebih baru yang dirilis sebelum mode Penerapan Terprogram. Kejadian yang dicatat menunjukkan bahwa pengguna mungkin memiliki hak istimewa yang berlebihan untuk membuat akun komputer dengan atribut yang sensitif terhadap keamanan semena-mena. Laporkan skenario yang tidak diharapkan ke Microsoft menggunakan kasus Dukungan Premier atau Terpadu atau Hub Tanggapan. (Contoh acara ini dapat ditemukan di bagian Acara yang Baru Ditambahkan.)
-
Jika mode Audit tidak mendeteksi hak istimewa yang tidak diharapkan untuk jangka waktu yang cukup, beralihlah ke mode Penegakan untuk memastikan bahwa tidak ada hasil negatif yang terjadi. Laporkan skenario yang tidak diharapkan ke Microsoft menggunakan kasus Dukungan Premier atau Terpadu atau Hub Tanggapan.
Penting Mode penerapan akan diaktifkan secara default dalam pembaruan mendatang tidak lebih cepat dari 9 Januari 2024.
Pengaturan waktu pembaruan Windows
Pembaruan Windows ini akan dirilis dalam dua fase:
-
Penyebaran awal – Pengenalan pembaruan, termasuk mode Audit-Secara Default, Penerapan atau Nonaktifkan yang dapat dikonfigurasi menggunakan atribut dSHeuristics .
-
Penyebaran akhir – Penerapan Secara Default.
Penting Mode penerapan akan diaktifkan secara default dalam pembaruan mendatang tidak lebih cepat dari 9 Januari 2024.
9 November 2021: Fase penyebaran awal
Fase penyebaran awal dimulai dengan pembaruan Windows yang dirilis pada 9 November 2021. Rilis ini menambahkan pengauditan izin yang ditetapkan oleh pengguna tanpa hak administrator domain selama pembuatan atau modifikasi komputer atau objek yang berasal dari komputer. Tindakan ini juga menambahkan Penerapan dan mode Nonaktifkan. Anda dapat mengatur mode secara global untuk setiap hutan Direktori Aktif menggunakan atribut dSHeuristics .
(Diperbarui 12/04/2023) 9 Januari 2024: Fase penyebaran akhir
Fase penyebaran akhir dimulai dengan pembaruan Windows yang dirilis tidak lebih cepat dari 9 Januari 2024 (yang akan ditentukan). Fase ini akan mengubah default ke mode Penerapan.
Penting: Mode nonaktifkan tidak didukung setelah 9 Januari 2024.
Catatan Pembaruan ini mengasumsikan bahwa semua pengontrol domain diperbarui dengan pembaruan 9 November 2021 atau yang lebih baru.
Panduan penyebaran
Mengatur Informasi Konfigurasi
Setelah menginstal CVE-2021-42291, karakter 28 dan 29 atribut dSHeuristics mengontrol perilaku pembaruan. Atribut dSHeuristics ada di dalam setiap hutan Direktori Aktif dan berisi pengaturan untuk seluruh hutan. Atribut dSHeuristics adalah atribut dari objek "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>". Lihat atribut 6.1.1.2.4.1.2 dSHeuristics dan DS-Heuristics untuk informasi selengkapnya.
Karakter 28 – Verifikasi AuthZ tambahan untuk operasi Tambahkan LDAP
0: Mode Audit-demi-Default diaktifkan. Kejadian dicatat ketika pengguna tanpa hak administrator domain mengatur securityDescriptor atau atribut lain ke nilai yang mungkin memberikan izin berlebihan, yang berpotensi memperbolehkan eksploitasi di masa mendatang, pada objek AD baru yang berasal dari komputer.
1: Mode penerapan diaktifkan. Ini mencegah pengguna tanpa hak administrator domain mengatur securityDescriptor atau atribut lain ke nilai yang mungkin memberikan izin berlebihan pada objek AD yang diturunkan komputer. Kejadian juga dicatat ketika hal ini terjadi.
2: Menonaktifkan pengauditan yang diperbarui dan tidak memberlakukan keamanan tambahan. Tidak disarankan.
Contoh: Jika Anda tidak memiliki pengaturan dSHeuristics lain yang diaktifkan di hutan Dan Anda ingin beralih ke mode Penegakan untuk verifikasi AuthZ Tambahan, atribut dSHeuristics harus diatur ke:
"0000000001000000000200000001"
Karakter yang diatur dalam kasus ini adalah:
10th char : Harus diatur ke 1 jika atribut dSHeuristics setidaknya 10 karakter
20th char: Harus diatur ke 2 jika atribut dSHeuristics minimal 20 karakter
28th char: Harus diatur ke 1 untuk mengaktifkan mode Penegakan untuk verifikasi AuthZ Tambahan
Karakter 29 - Penghapusan sementara Pemilik Implisit untuk operasi LDAP Modifikasi
0: Mode Audit-demi-Default diaktifkan. Kejadian dicatat ketika pengguna tanpa hak administrator domain mengatur securityDescriptor ke nilai yang mungkin memberikan izin berlebihan, yang berpotensi memperbolehkan eksploitasi di masa mendatang, pada objek AD yang berasal dari komputer yang sudah ada.
1: Mode penerapan diaktifkan. Ini mencegah pengguna tanpa hak administrator domain mengatur securityDescriptor ke nilai yang mungkin memberikan izin berlebihan pada objek AD yang berasal dari komputer yang sudah ada. Kejadian juga dicatat ketika hal ini terjadi.
2:Menonaktifkan pengauditan yang diperbarui dan tidak memberlakukan keamanan tambahan. Tidak disarankan.
Contoh: Jika Anda hanya memiliki bendera DsHeuristics verifikasi AuthZ Tambahan yang diatur di hutan Dan Anda ingin beralih ke mode Penerapan untuk penghapusan Kepemilikan Implisit sementara, atribut dSHeuristics harus diatur ke:
"00000000010000000002000000011"
Karakter yang diatur dalam kasus ini adalah:
10th char: Harus diatur ke 1 jika atribut dSHeuristics setidaknya 10 karakter
20th char: Harus diatur ke 2 jika atribut dSHeuristics minimal 20 karakter
28th char: Harus diatur ke 1 untuk mengaktifkan mode Penegakan untuk verifikasi
AuthZ Tambahan
29th char: Harus diatur ke 1 untuk mengaktifkan mode Penegakan untuk penghapusan Kepemilikan Implisit sementara
Acara yang baru ditambahkan
Pembaruan Windows 9 November 2021 juga akan menambahkan log kejadian baru.
Kejadian Perubahan Mode – Verifikasi AuthZ tambahan untuk operasi Tambahkan LDAP
Kejadian yang terjadi ketika bit 28 atribut dSHeuristics diubah, yang mengubah mode verifikasi AuthZ Tambahan untuk bagian operasi Tambahkan LDAP pembaruan.
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Informasi |
|
ID Kejadian |
3050 |
|
Teks Acara |
Direktori telah dikonfigurasi untuk memberlakukan otorisasi per atribut selama operasi menambahkan LDAP. Ini adalah pengaturan yang paling aman, dan tidak diperlukan tindakan lebih lanjut. |
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3051 |
|
Teks Acara |
Direktori telah dikonfigurasi untuk tidak memberlakukan otorisasi per atribut selama operasi menambahkan LDAP. Kejadian peringatan akan dicatat, tetapi tidak ada permintaan yang akan diblokir. Pengaturan ini tidak aman dan hanya boleh digunakan sebagai langkah pemecahan masalah sementara. Silakan tinjau saran mitigasi dalam tautan di bawah ini. |
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Kesalahan |
|
ID Kejadian |
3052 |
|
Teks Acara |
Direktori telah dikonfigurasi untuk tidak memberlakukan otorisasi per atribut selama operasi menambahkan LDAP. Tidak ada kejadian yang akan dicatat, dan tidak ada permintaan yang akan diblokir. Pengaturan ini tidak aman dan hanya boleh digunakan sebagai langkah pemecahan masalah sementara. Silakan tinjau saran mitigasi dalam tautan di bawah ini. |
Mode Ubah Acara – penghapusan sementara hak Pemilik Implisit
Kejadian yang terjadi ketika bit 29 atribut dSHeuristics diubah, yang mengubah mode penghapusan sementara bagian hak Pemilik Implisit pembaruan.
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Informasi |
|
ID Kejadian |
3053 |
|
Teks Acara |
Direktori telah dikonfigurasi untuk memblokir hak istimewa pemilik implisit ketika awalnya mengatur atau mengubah atribut nTSecurityDescriptor selama operasi penambahan dan modifikasi LDAP. Ini adalah pengaturan yang paling aman, dan tidak diperlukan tindakan lebih lanjut. |
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3054 |
|
Teks Acara |
Direktori telah dikonfigurasi untuk memungkinkan hak istimewa pemilik implisit ketika awalnya mengatur atau mengubah atribut nTSecurityDescriptor selama operasi tambahkan dan ubah LDAP. Kejadian peringatan akan dicatat, tetapi tidak ada permintaan yang akan diblokir. Pengaturan ini tidak aman dan hanya boleh digunakan sebagai langkah pemecahan masalah sementara. |
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Kesalahan |
|
ID Kejadian |
3055 |
|
Teks Acara |
Direktori telah dikonfigurasi untuk memungkinkan hak istimewa pemilik implisit ketika awalnya mengatur atau mengubah atribut nTSecurityDescriptor selama operasi tambahkan dan ubah LDAP. Tidak ada kejadian yang akan dicatat, dan tidak ada permintaan yang akan diblokir. Pengaturan ini tidak aman dan hanya boleh digunakan sebagai langkah pemecahan masalah sementara. |
Kejadian mode audit
Kejadian yang terjadi dalam mode Audit untuk mencatat potensi masalah keamanan dengan operasi Tambahkan atau Ubah LDAP.
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3047 |
|
Teks Acara |
Layanan direktori mendeteksi permintaan penambahan LDAP untuk objek berikut yang biasanya diblokir karena alasan keamanan berikut. Klien tidak memiliki izin untuk menulis satu atau beberapa atribut yang disertakan dalam permintaan add, berdasarkan deskriptor keamanan gabungan default. Permintaan diizinkan untuk dilanjutkan karena direktori saat ini dikonfigurasi berada dalam mode audit saja untuk pemeriksaan keamanan ini. DN Objek: <> DN objek yang dibuat Kelas objek: <objek yang dibuatClass> Pengguna: <pengguna yang mencoba menambahkan> LDAP Alamat IP Klien: <IP pemohon> Desc keamanan: <SD yang dicoba> |
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3048 |
|
Teks Acara |
Layanan direktori mendeteksi permintaan penambahan LDAP untuk objek berikut yang biasanya diblokir karena alasan keamanan berikut. Klien menyertakan atribut nTSecurityDescriptor dalam permintaan add tetapi tidak memiliki izin eksplisit untuk menulis satu atau beberapa bagian dari deskriptor keamanan baru, berdasarkan deskriptor keamanan gabungan default. Permintaan diizinkan untuk dilanjutkan karena direktori saat ini dikonfigurasi berada dalam mode audit saja untuk pemeriksaan keamanan ini. DN Objek: <> DN objek yang dibuat Kelas objek: <objek yang dibuatClass> Pengguna: <pengguna yang mencoba menambahkan> LDAP Alamat IP Klien: <IP pemohon> |
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3049 |
|
Teks Acara |
Layanan direktori mendeteksi permintaan modifikasi LDAP untuk objek berikut yang biasanya diblokir karena alasan keamanan berikut. Klien menyertakan atribut nTSecurityDescriptor dalam permintaan add tetapi tidak memiliki izin eksplisit untuk menulis satu atau beberapa bagian dari deskriptor keamanan baru, berdasarkan deskriptor keamanan gabungan default. Permintaan diizinkan untuk dilanjutkan karena direktori saat ini dikonfigurasi berada dalam mode audit saja untuk pemeriksaan keamanan ini. DN Objek: <> DN objek yang dibuat Kelas objek: <objek yang dibuatClass> Pengguna: <pengguna yang mencoba menambahkan> LDAP Alamat IP Klien: <IP pemohon> |
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3056 |
|
Teks Acara |
Layanan direktori memproses kueri untuk atribut sdRightsEffective pada objek yang ditentukan di bawah ini. Masker akses yang dikembalikan disertakan WRITE_DAC, tetapi hanya karena direktori telah dikonfigurasi untuk memungkinkan hak istimewa pemilik implisit yang bukan pengaturan aman. DN Objek: <> DN objek yang dibuat Pengguna: <pengguna yang mencoba menambahkan> LDAP Alamat IP Klien: <IP pemohon> |
Mode Penegakan - LDAP Tambahkan kegagalan
Kejadian yang terjadi saat operasi Tambahkan LDAP ditolak.
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3044 |
|
Teks Acara |
Layanan direktori menolak permintaan penambahan LDAP untuk objek berikut. Permintaan ditolak karena klien tidak memiliki izin untuk menulis satu atau beberapa atribut yang disertakan dalam permintaan add, berdasarkan deskriptor keamanan gabungan default. DN Objek: <> DN objek yang dibuat Kelas objek: <objek yang dibuatClass> Pengguna: <pengguna yang mencoba menambahkan> LDAP Alamat IP Klien: <IP pemohon> Desc keamanan: <SD yang dicoba> |
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3045 |
|
Teks Acara |
Layanan direktori menolak permintaan penambahan LDAP untuk objek berikut. Permintaan ditolak karena klien menyertakan atribut nTSecurityDescriptor dalam permintaan add tetapi tidak memiliki izin eksplisit untuk menulis satu atau beberapa bagian deskriptor keamanan baru, berdasarkan deskriptor keamanan gabungan default. DN Objek: <> DN objek yang dibuat Kelas objek: <objek yang dibuatClass> Pengguna: <pengguna yang mencoba menambahkan> LDAP Alamat IP Klien: <IP pemohon> |
Mode Penerapan - LDAP Modifikasi kegagalan
Kejadian yang terjadi ketika operasi Modifikasi LDAP ditolak.
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3046 |
|
Teks Acara |
Layanan direktori menolak permintaan modifikasi LDAP untuk objek berikut. Permintaan ditolak karena klien menyertakan atribut nTSecurityDescriptor dalam permintaan modifikasi tetapi tidak memiliki izin eksplisit untuk menulis satu atau beberapa bagian deskriptor keamanan baru, berdasarkan deskriptor keamanan objek yang sudah ada. DN Objek: <> DN objek yang dibuat Kelas objek: <objek yang dibuatClass> Pengguna: <pengguna yang mencoba menambahkan> LDAP Alamat IP Klien: <IP pemohon> |
Pertanyaan umum
Q1 Apa yang terjadi jika saya memiliki campuran pengontrol domain Direktori Aktif yang diperbarui dan tidak diperbarui?
A1 DC yang tidak diperbarui tidak akan mencatat kejadian yang terkait dengan kerentanan ini.
T2 Apa yang perlu saya lakukan untuk Read-Only Pengontrol Domain (RODC)?
A2 Apa; Operasi Tambahkan dan Ubah LDAP tidak dapat menargetkan RODC.
Q3 Saya memiliki produk atau proses pihak ketiga yang gagal setelah mengaktifkan mode Penegakan. Apakah saya perlu memberikan hak administrator domain pengguna atau layanan?
A3 Kami umumnya tidak menyarankan menambahkan layanan atau pengguna ke grup Administrator Domain sebagai solusi pertama untuk masalah ini. Periksa log kejadian untuk melihat izin tertentu apa yang diperlukan dan pertimbangkan untuk mendelegasikan hak terbatas yang tepat untuk pengguna tersebut di Unit Organisasi terpisah yang ditunjuk untuk tujuan tersebut.
