Diperbarui 20/03/2024 – Menambahkan referensi LDS
Rangkuman
CVE-2021-42291 membahas kerentanan bypass keamanan yang memungkinkan pengguna tertentu mengatur nilai sewenang-wenang pada atribut sensitif keamanan dari objek tertentu yang disimpan di Direktori Aktif (AD) atau Layanan Direktori Ringan (LDS). Untuk mengeksploitasi kerentanan ini, pengguna harus memiliki hak istimewa yang memadai untuk membuat objek turunan komputer, seperti pengguna memberikan izin CreateChild untuk objek komputer. Pengguna tersebut dapat membuat akun komputer menggunakan Lightweight Directory Access Protocol (LDAP) Tambahkan panggilan yang memungkinkan akses yang terlalu permisif ke atribut securityDescriptor . Selain itu, pembuat dan pemilik dapat mengubah atribut sensitif keamanan setelah membuat akun. Hal ini dapat dimanfatkan untuk melakukan peningkatan hak istimewa dalam skenario tertentu.
CatatanLDS akan mencatat kejadian 3050, 3053, 3051, dan 3054 tentang status akses implisit ke objek, sama seperti ad.
Mitigasi dalam CVE-2021-42291 terdiri dari:
-
Verifikasi otorisasi tambahan ketika pengguna tanpa hak administrator domain atau LDS mencoba operasi Tambahkan LDAP untuk objek yang berasal dari komputer. Ini termasuk mode Audit-Menurut-Default yang mengaudit ketika upaya tersebut terjadi tanpa mengganggu permintaan dan mode Penegakan yang memblokir upaya tersebut.
-
Penghapusan sementara hak istimewa Pemilik Implisit ketika pengguna tanpa hak administrator domain mencoba operasi LDAP Modifikasi pada atribut securityDescriptor . Verifikasi terjadi untuk mengonfirmasi apakah pengguna akan diizinkan untuk menulis deskriptor keamanan tanpa hak istimewa Pemilik Implisit. Ini juga mencakup mode Audit-Menurut-Default yang mengaudit ketika upaya tersebut terjadi tanpa mengganggu permintaan dan mode Penegakan yang memblokir upaya tersebut.
Ambil Tindakan
Untuk melindungi lingkungan Anda dan menghindari pemadaman, selesaikan langkah-langkah berikut:
-
Perbarui semua perangkat yang menghosting pengontrol domain Direktori Aktif atau peran Server LDS dengan menginstal pembaruan Windows terbaru. DC yang memiliki pembaruan 9 November 2021 atau yang lebih baru akan memiliki perubahan dalam mode Audit secara default.
-
Pantau log kejadian Layanan Direktori atau LDS untuk kejadian 3044-3056 pada pengontrol domain dan server LDS yang memiliki pembaruan Windows 9 November 2021 atau yang lebih baru. Kejadian yang dicatat menunjukkan bahwa pengguna mungkin memiliki hak istimewa yang berlebihan untuk membuat akun komputer dengan atribut yang sensitif terhadap keamanan semena-mena. Laporkan skenario yang tidak diharapkan ke Microsoft menggunakan kasus Dukungan Premier atau Terpadu atau Hub Tanggapan. (Contoh acara ini dapat ditemukan di bagian Acara yang Baru Ditambahkan.)
-
Jika mode Audit tidak mendeteksi hak istimewa yang tidak diharapkan untuk jangka waktu yang cukup, beralihlah ke mode Penegakan untuk memastikan bahwa tidak ada hasil negatif yang terjadi. Laporkan skenario yang tidak diharapkan ke Microsoft menggunakan kasus Dukungan Premier atau Terpadu atau Hub Tanggapan.
Pengaturan waktu pembaruan Windows
Pembaruan Windows ini akan dirilis dalam dua fase:
-
Penyebaran awal – Pengenalan pembaruan, termasuk mode Audit-Secara Default, Penerapan atau Nonaktifkan yang dapat dikonfigurasi menggunakan atribut dSHeuristics .
-
Penyebaran akhir – Penerapan Secara Default.
9 November 2021: Fase penyebaran awal
Fase penyebaran awal dimulai dengan pembaruan Windows yang dirilis pada 9 November 2021. Rilis ini menambahkan pengauditan izin yang ditetapkan oleh pengguna tanpa hak administrator domain selama pembuatan atau modifikasi komputer atau objek yang berasal dari komputer. Tindakan ini juga menambahkan Penerapan dan mode Nonaktifkan. Anda dapat mengatur mode secara global untuk setiap hutan Direktori Aktif menggunakan atribut dSHeuristics .
(Diperbarui 15/12/2023) Fase penyebaran akhir
Fase penyebaran akhir dapat dimulai setelah Anda menyelesaikan langkah-langkah yang tercantum di bagian Ambil Tindakan. Untuk berpindah ke Mode Penerapan, ikuti instruksi di bagian Panduan Penggunaan untuk mengatur bit ke-28 dan ke-29 pada atribut dSHeuristics . Lalu pantau kejadian 3044-3046. Mereka melaporkan ketika Mode Penerapan telah memblokir operasi Tambah atau Modifikasi LDAP yang mungkin sebelumnya telah diizinkan dalam mode Audit.Â
Panduan penyebaran
Mengatur Informasi Konfigurasi
Setelah menginstal CVE-2021-42291, karakter 28 dan 29 atribut dSHeuristics mengontrol perilaku pembaruan. Atribut dSHeuristics ada di dalam setiap hutan Direktori Aktif dan berisi pengaturan untuk seluruh hutan. Atribut dSHeuristics adalah atribut dari "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD ) atau "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS). Lihat atribut 6.1.1.2.4.1.2 dSHeuristics dan DS-Heuristics untuk informasi selengkapnya.
Karakter 28 – Verifikasi AuthZ tambahan untuk operasi Tambahkan LDAP
0: Mode Audit-demi-Default diaktifkan. Kejadian dicatat ketika pengguna tanpa hak administrator domain mengatur securityDescriptor atau atribut lain ke nilai yang mungkin memberikan izin berlebihan, yang berpotensi memperbolehkan eksploitasi di masa mendatang, pada objek AD baru yang berasal dari komputer.
1: Mode penerapan diaktifkan. Ini mencegah pengguna tanpa hak administrator domain mengatur securityDescriptor atau atribut lain ke nilai yang mungkin memberikan izin yang berlebihan pada objek AD yang berasal dari komputer. Kejadian juga dicatat ketika hal ini terjadi.
2:Â Menonaktifkan pengauditan yang diperbarui dan tidak memberlakukan keamanan tambahan. Tidak disarankan.
Contoh: Jika Anda tidak memiliki pengaturan dSHeuristics lain yang diaktifkan di hutan Dan Anda ingin beralih ke mode Penegakan untuk verifikasi AuthZ Tambahan, atribut dSHeuristics harus diatur ke:
"0000000001000000000200000001"
Karakter yang diatur dalam kasus ini adalah:
10th char : Harus diatur ke 1 jika atribut dSHeuristics setidaknya 10 karakter
20th char: Harus diatur ke 2 jika atribut dSHeuristics minimal 20 karakter
28th char: Harus diatur ke 1 untuk mengaktifkan mode Penegakan untuk verifikasi AuthZ Tambahan
Karakter 29 - Penghapusan sementara Pemilik Implisit untuk operasi LDAP Modifikasi
0: Mode Audit-demi-Default diaktifkan. Kejadian dicatat ketika pengguna tanpa hak administrator domain mengatur securityDescriptor ke nilai yang mungkin memberikan izin berlebihan, yang berpotensi memperbolehkan eksploitasi di masa mendatang, pada objek AD yang berasal dari komputer yang sudah ada.
1: Mode penerapan diaktifkan. Ini mencegah pengguna tanpa hak administrator domain mengatur securityDescriptor ke nilai yang mungkin memberikan izin berlebihan pada objek AD yang berasal dari komputer yang sudah ada. Kejadian juga dicatat ketika hal ini terjadi.
2:Menonaktifkan pengauditan yang diperbarui dan tidak memberlakukan keamanan tambahan. Tidak disarankan.
Contoh: Jika Anda hanya memiliki bendera DsHeuristics verifikasi AuthZ Tambahan yang diatur di hutan Dan Anda ingin beralih ke mode Penerapan untuk penghapusan Kepemilikan Implisit sementara, atribut dSHeuristics harus diatur ke:
"00000000010000000002000000011"
Karakter yang diatur dalam kasus ini adalah:
10th char: Harus diatur ke 1 jika atribut dSHeuristics setidaknya 10 karakter
20th char: Harus diatur ke 2 jika atribut dSHeuristics minimal 20 karakter
28th char: Harus diatur ke 1 untuk mengaktifkan mode Penegakan untuk verifikasi
AuthZ Tambahan
29th char: Harus diatur ke 1 untuk mengaktifkan mode Penegakan untuk penghapusan Kepemilikan Implisit sementara
Acara yang baru ditambahkan
Pembaruan Windows 9 November 2021 juga akan menambahkan log kejadian baru.
Kejadian Perubahan Mode – Verifikasi AuthZ tambahan untuk operasi Tambahkan LDAP
Kejadian yang terjadi ketika bit 28 atribut dSHeuristics diubah, yang mengubah mode verifikasi AuthZ Tambahan untuk bagian operasi Tambahkan LDAP pembaruan.
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Informasi |
|
ID Kejadian |
3050 |
|
Teks Acara |
Direktori telah dikonfigurasi untuk memberlakukan otorisasi per atribut selama operasi menambahkan LDAP. Ini adalah pengaturan yang paling aman, dan tidak diperlukan tindakan lebih lanjut. |
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3051 |
|
Teks Acara |
Direktori telah dikonfigurasi untuk tidak memberlakukan otorisasi per atribut selama operasi tambah LDAP. Kejadian peringatan akan dicatat, tetapi tidak ada permintaan yang akan diblokir. Pengaturan ini tidak aman dan hanya boleh digunakan sebagai langkah pemecahan masalah sementara. Silakan tinjau saran mitigasi dalam tautan di bawah ini. |
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Kesalahan |
|
ID Kejadian |
3052 |
|
Teks Acara |
Direktori telah dikonfigurasi untuk tidak memberlakukan otorisasi per atribut selama operasi tambah LDAP. Tidak ada kejadian yang akan dicatat, dan tidak ada permintaan yang akan diblokir. Pengaturan ini tidak aman dan hanya boleh digunakan sebagai langkah pemecahan masalah sementara. Silakan tinjau saran mitigasi dalam tautan di bawah ini. |
Mode Ubah Acara – penghapusan sementara hak Pemilik Implisit
Kejadian yang terjadi ketika bit 29 atribut dSHeuristics diubah, yang mengubah mode penghapusan sementara bagian hak Pemilik Implisit pembaruan.
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Informasi |
|
ID Kejadian |
3053 |
|
Teks Acara |
Direktori telah dikonfigurasi untuk memblokir hak istimewa pemilik implisit ketika awalnya mengatur atau mengubah atribut nTSecurityDescriptor selama operasi penambahan dan modifikasi LDAP. Ini adalah pengaturan yang paling aman, dan tidak diperlukan tindakan lebih lanjut. |
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3054 |
|
Teks Acara |
Direktori telah dikonfigurasi untuk memungkinkan hak istimewa pemilik implisit ketika awalnya mengatur atau mengubah atribut nTSecurityDescriptor selama operasi tambahkan dan ubah LDAP. Kejadian peringatan akan dicatat, tetapi tidak ada permintaan yang akan diblokir. Pengaturan ini tidak aman dan hanya boleh digunakan sebagai langkah pemecahan masalah sementara. |
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Kesalahan |
|
ID Kejadian |
3055 |
|
Teks Acara |
Direktori telah dikonfigurasi untuk memungkinkan hak istimewa pemilik implisit ketika awalnya mengatur atau mengubah atribut nTSecurityDescriptor selama operasi tambahkan dan ubah LDAP. Tidak ada kejadian yang akan dicatat, dan tidak ada permintaan yang akan diblokir. Pengaturan ini tidak aman dan hanya boleh digunakan sebagai langkah pemecahan masalah sementara. |
Kejadian mode audit
Kejadian yang terjadi dalam mode Audit untuk mencatat potensi masalah keamanan dengan operasi Tambahkan atau Ubah LDAP.
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3047 |
|
Teks Acara |
Layanan direktori mendeteksi permintaan penambahan LDAP untuk objek berikut yang biasanya diblokir karena alasan keamanan berikut. Klien tidak memiliki izin untuk menulis satu atau beberapa atribut yang disertakan dalam permintaan add, berdasarkan deskriptor keamanan gabungan default. Permintaan diizinkan untuk dilanjutkan karena direktori saat ini dikonfigurasi berada dalam mode audit saja untuk pemeriksaan keamanan ini. DN Objek: <> DN objek yang dibuat Kelas objek: <objek yang dibuatClass> Pengguna: <pengguna yang mencoba menambahkan> LDAP Alamat IP Klien: <IP pemohon> Desc keamanan: <SD yang dicoba> |
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3048 |
|
Teks Acara |
Layanan direktori mendeteksi permintaan penambahan LDAP untuk objek berikut yang biasanya diblokir karena alasan keamanan berikut. Klien menyertakan atribut nTSecurityDescriptor dalam permintaan add tetapi tidak memiliki izin eksplisit untuk menulis satu atau beberapa bagian dari deskriptor keamanan baru, berdasarkan deskriptor keamanan gabungan default. Permintaan diizinkan untuk dilanjutkan karena direktori saat ini dikonfigurasi berada dalam mode audit saja untuk pemeriksaan keamanan ini. DN Objek: <> DN objek yang dibuat Kelas objek: <objek yang dibuatClass> Pengguna: <pengguna yang mencoba menambahkan> LDAP Alamat IP Klien: <IP pemohon> |
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3049 |
|
Teks Acara |
Layanan direktori mendeteksi permintaan modifikasi LDAP untuk objek berikut yang biasanya diblokir karena alasan keamanan berikut. Klien menyertakan atribut nTSecurityDescriptor dalam permintaan add tetapi tidak memiliki izin eksplisit untuk menulis satu atau beberapa bagian dari deskriptor keamanan baru, berdasarkan deskriptor keamanan gabungan default. Permintaan diizinkan untuk dilanjutkan karena direktori saat ini dikonfigurasi berada dalam mode audit saja untuk pemeriksaan keamanan ini. DN Objek: <> DN objek yang dibuat Kelas objek: <objek yang dibuatClass> Pengguna: <pengguna yang mencoba menambahkan> LDAP Alamat IP Klien: <IP pemohon> |
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3056 |
|
Teks Acara |
Layanan direktori memproses kueri untuk atribut sdRightsEffective pada objek yang ditentukan di bawah ini. Masker akses yang dikembalikan disertakan WRITE_DAC, tetapi hanya karena direktori telah dikonfigurasi untuk memungkinkan hak istimewa pemilik implisit yang bukan pengaturan aman. DN Objek: <> DN objek yang dibuat Pengguna: <pengguna yang mencoba menambahkan> LDAP Alamat IP Klien: <IP pemohon> |
Mode Penerapan - LDAP Tambahkan kegagalan
Kejadian yang terjadi saat operasi Tambahkan LDAP ditolak.
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3044 |
|
Teks Acara |
Layanan direktori menolak permintaan penambahan LDAP untuk objek berikut. Permintaan ditolak karena klien tidak memiliki izin untuk menulis satu atau beberapa atribut yang disertakan dalam permintaan add, berdasarkan deskriptor keamanan gabungan default. DN Objek: <> DN objek yang dibuat Kelas objek: <objek yang dibuatClass> Pengguna: <pengguna yang mencoba menambahkan> LDAP Alamat IP Klien: <IP pemohon> Desc keamanan: <SD yang dicoba> |
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3045 |
|
Teks Acara |
Layanan direktori menolak permintaan penambahan LDAP untuk objek berikut. Permintaan ditolak karena klien menyertakan atribut nTSecurityDescriptor dalam permintaan add tetapi tidak memiliki izin eksplisit untuk menulis satu atau beberapa bagian deskriptor keamanan baru, berdasarkan deskriptor keamanan gabungan default. DN Objek: <> DN objek yang dibuat Kelas objek: <objek yang dibuatClass> Pengguna: <pengguna yang mencoba menambahkan> LDAP Alamat IP Klien: <IP pemohon> |
Mode Penerapan - LDAP Ubah kegagalan
Kejadian yang terjadi ketika operasi Modifikasi LDAP ditolak.
|
Log Kejadian |
Layanan Direktori |
|
Tipe Kejadian |
Peringatan |
|
ID Kejadian |
3046 |
|
Teks Acara |
Layanan direktori menolak permintaan modifikasi LDAP untuk objek berikut. Permintaan ditolak karena klien menyertakan atribut nTSecurityDescriptor dalam permintaan modifikasi tetapi tidak memiliki izin eksplisit untuk menulis satu atau beberapa bagian deskriptor keamanan baru, berdasarkan deskriptor keamanan objek yang sudah ada. DN Objek: <> DN objek yang dibuat Kelas objek: <objek yang dibuatClass> Pengguna: <pengguna yang mencoba menambahkan> LDAP Alamat IP Klien: <IP pemohon> |
Pertanyaan umum
Q1 Apa yang terjadi jika saya memiliki campuran pengontrol domain Direktori Aktif yang diperbarui dan tidak diperbarui?
A1 DC yang tidak diperbarui tidak akan mencatat kejadian yang terkait dengan kerentanan ini.
T2 Apa yang perlu saya lakukan untuk Read-Only Pengontrol Domain (RODC)?
A2 Apa; Operasi Tambahkan dan Ubah LDAP tidak dapat menargetkan RODC.
Q3 Saya memiliki produk atau proses pihak ketiga yang gagal setelah mengaktifkan mode Penegakan. Apakah saya perlu memberikan hak administrator domain pengguna atau layanan?
A3 Kami umumnya tidak menyarankan menambahkan layanan atau pengguna ke grup Administrator Domain sebagai solusi pertama untuk masalah ini. Periksa log kejadian untuk melihat izin tertentu apa yang diperlukan dan pertimbangkan untuk mendelegasikan hak terbatas yang tepat untuk pengguna tersebut di Unit Organisasi terpisah yang ditunjuk untuk tujuan tersebut.
T4 Saya melihat kejadian audit juga untuk server LDS. Mengapa ini terjadi?
A4Semua hal di atas juga berlaku untuk AD LDS, meskipun sangat tidak biasa untuk memiliki objek komputer di LDS. Langkah-langkah mitigasi juga harus dilakukan untuk mengaktifkan perlindungan bagi LDS AD ketika mode Audit tidak mendeteksi hak istimewa apa pun yang tidak diharapkan.
