KB5008380 - Aggiornamenti dell'autenticazione (CVE-2021-42287)

Riassunto

CVE-2021-42287 risolve una vulnerabilità di bypass di sicurezza che influisce sul certificato pac (Privilege Attribute Certificate) Kerberos e consente ai potenziali utenti malintenzionati di rappresentare i controller di dominio. Per sfruttare questa vulnerabilità, un account di dominio compromesso potrebbe causare la creazione di un ticket di servizio con un livello di privilegi superiore rispetto a quello dell'account compromesso. A tale scopo, impedisce al KDC di identificare l'account per cui si trova il ticket di servizio con privilegi più elevati.

Il processo di autenticazione migliorato in CVE-2021-42287 aggiunge nuove informazioni sul richiedente originale ai PAC dei ticket di Ticket-Granting Kerberos. In seguito, quando viene generato un ticket di servizio Kerberos per un account, il nuovo processo di autenticazione verificherà che l'account che ha richiesto il TGT sia lo stesso account a cui viene fatto riferimento nel ticket di servizio.

Dopo l'installazione degli aggiornamenti di Windows datati 9 novembre 2021 o versione successiva, i controller di dominio di Windows verranno aggiunti al gruppo di controllo di dominio di tutti gli account di dominio, anche quelli che in precedenza hanno scelto di rifiutare i PAC.

Intervenire

Per proteggere l'ambiente ed evitare interruzioni, completare i passaggi seguenti:

Aggiorna tutti i dispositivi che ospitano il ruolo di controller di dominio Active Directory installando l'aggiornamento della sicurezza del 9 novembre 2021 e l'aggiornamento fuori banda del 14 novembre 2021. Trova di seguito il numero della KB OOB per il sistema operativo specifico.

Sistema operativo	Numero KB
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Dopo aver installato l'aggiornamento della sicurezza del 9 novembre 2021 e l'aggiornamento OOB del 14 novembre 2021 in tutti i controller di dominio Active Directory per almeno 7 giorni, è consigliabile abilitare la modalità di applicazione in tutti i controller di dominio Active Directory.
A partire dall'aggiornamento della fase di applicazione dell'11 ottobre 2022 (aggiornato), la modalità di applicazione sarà abilitata in tutti i controller di dominio Windows e sarà necessaria.

Tempistiche degli aggiornamenti di Windows - (aggiornato il 31/1/23)

Questi Aggiornamenti di Windows verranno rilasciati in tre fasi:

Distribuzione iniziale: introduzione dell'aggiornamento e della chiave del Registro di sistema PacRequestorEnforcement
Seconda distribuzione: rimozione del valore 0 di PacRequestorEnforcement (possibilità di disabilitare la chiave del Registro di sistema)
Fase di applicazione: la modalità di applicazione è abilitata. Questa fase depreca la chiave PacRequestorEnforcement e non la legge più

9 novembre 2021: fase di distribuzione iniziale

La fase di distribuzione iniziale inizia con l'aggiornamento di Windows rilasciato il 9 novembre 2021. Questa versione:

Aggiunge protezioni contro CVE-2021-42287
Aggiunge il supporto per il valore del Registro di sistema PacRequestorEnforcement , che consente di passare in anticipo alla fase di applicazione

La prevenzione consiste nell'installazione degli aggiornamenti di Windows in tutti i dispositivi che ospitano il ruolo di controller di dominio e i controller di dominio di sola lettura.

12 luglio 2022: seconda fase di distribuzione

La seconda fase di distribuzione inizia con l'aggiornamento di Windows rilasciato il 12 luglio 2022. Questa fase rimuove l'impostazione PacRequestorEnforcement di 0. L'impostazione di PacRequestorEnforcement su 0 dopo l'installazione di questo aggiornamento avrà lo stesso effetto dell'impostazione di PacRequestorEnforcement su 1. I controller di dominio saranno in modalità distribuzione.

Nota Questa fase non è necessaria se PacRequestorEnforcement non è mai stato impostato su 0 nell'ambiente. Questa fase garantisce che i clienti che impostano PacRequestorEnforcement su 0passino all'impostazione 1 prima della fase di applicazione.

Nota Questo aggiornamento presuppone che tutti i controller di dominio siano aggiornati con l'aggiornamento di Windows del 9 novembre 2021 o successivo.

11 ottobre 2022: fase di applicazione - (aggiornato 31/1/23)

La versione dell'11 ottobre 2022 passerà tutti i controller di dominio di Active Directory alla fase di applicazione. La fase di applicazione depreca la chiave PacRequestorEnforcement e non la legge più. Di conseguenza, i controller di dominio Windows che hanno installato l'aggiornamento dell'11 ottobre 2022 non saranno più compatibili con:

Controller di dominio che non hanno installato gli aggiornamenti del 9 novembre 2021 o successivi.
Controller di dominio che hanno installato gli aggiornamenti del 9 novembre 2021 o successivi ma non hanno ancora installato l'aggiornamento del 12 luglio 2022 e che hanno un valore del Registro di sistema PacRequestorEnforcement pari a 0.

Tuttavia, i controller di dominio Windows che hanno installato l'aggiornamento dell'11 ottobre 2022 rimarranno compatibili con:

Controller di dominio Windows che hanno installato gli aggiornamenti dell'11 ottobre 2022 o successivi
Controller di dominio finestra che hanno installato gli aggiornamenti^{del 9 novembre} 2021 o versione successiva e hanno un valore PacRequestorEnforcement o 1 o 2

Informazioni sulla chiave del Registro di sistema

Dopo l'installazione delle protezioni CVE-2021-42287 negli aggiornamenti di Windows rilasciati tra il 9 novembre 2021 e il 14 giugno 2022, sarà disponibile la chiave del Registro di sistema seguente:

Sottochiave del Registro di sistema	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Valore	PacRequestorEnforcement
Tipo di dati	REG_DWORD
Dati	1: Aggiungere il nuovo PAC agli utenti che si sono autenticati usando un controller di dominio Active Directory in cui sono installati gli aggiornamenti del 9 novembre 2021 o successivi. Durante l'autenticazione, se l'utente ha il nuovo PAC, la PAC viene convalidata. Se l'utente non ha il nuovo PAC, non viene eseguita alcuna ulteriore azione. I controller di dominio Active Directory in questa modalità si trovano nella fase di distribuzione. 2: Aggiungere il nuovo PAC agli utenti che si sono autenticati usando un controller di dominio Active Directory in cui sono installati gli aggiornamenti del 9 novembre 2021 o successivi. Durante l'autenticazione, se l'utente ha il nuovo PAC, la PAC viene convalidata. Se l'utente non ha il nuovo PAC, l'autenticazione viene negata. I controller di dominio Active Directory in questa modalità sono nella fase di applicazione. 0: disabilita la chiave del Registro di sistema. Scelta non consigliata. I controller di dominio Active Directory in questa modalità sono nella fase Disabled. Questo valore non esisterà dopo gli aggiornamenti del 12 luglio 2022 o successivi. Importante L'impostazione 0 non è compatibile con l'impostazione 2. Errori intermittenti possono verificarsi se entrambe le impostazioni vengono utilizzate all'interno di una foresta. Se si usa l'impostazione 0, è consigliabile passare l'impostazione 0 (Disabilita) all'impostazione 1 (Distribuzione) per almeno una settimana prima di passare all'impostazione 2 (modalità di applicazione).
Predefinita	1 (quando la chiave del Registro di sistema non è impostata)
È necessario riavviare il sistema?	No

Eventi di controllo

L'aggiornamento di Windows del 9 novembre 2021 aggiungerà anche nuovi log eventi.

PAC senza attributi

Il KDC rileva un TGT senza il buffer dell'attributo PAC. È probabile che l'altro KDC nei log non contenga l'aggiornamento o sia in modalità di disabilitazione.

Registro eventi	Sistema
Tipo di evento	Attenzione
Origine evento	Centro di distribuzione con chiave Kerberos Microsoft
ID evento	35
Testo evento	Il Key Distribution Center (KDC) ha rilevato un ticket-granting-ticket (TGT) da un altro KDC ("<KDC Name>") che non conteneva un campo degli attributi PAC.

Biglietto senza PAC

Il KDC incontra un TGT o un altro ticket di prova senza un PAC. Ciò impedisce al KDC di applicare controlli di sicurezza sul ticket.

Registro eventi	Sistema
Tipo di evento	Avviso durante la fase di distribuzione Errore durante la fase di applicazione
Origine evento	Centro di distribuzione con chiave Kerberos Microsoft
ID evento	36
Testo evento	Il Key Distribution Center (KDC) ha rilevato un ticket che non conteneva un PAC durante l'elaborazione di una richiesta per un altro ticket. Ciò impediva l'esecuzione dei controlli di sicurezza e poteva aprire vulnerabilità di protezione. Client: <> nome di dominio\<> nome utente Ticket per:> nome servizio <

Ticket senza richiedente

Il KDC rileva un TGT o un altro ticket di prova senza il buffer del richiedente PAC. È probabile che il KDC che ha costruito il PAC non contenga l'aggiornamento o sia in modalità disabilitata.

Nota Vedere la sezione Problemi noti per informazioni importanti sull'evento 37.

Registro eventi	Sistema
Tipo di evento	Avviso durante la fase di distribuzione Errore durante la fase di applicazione
Origine evento	Centro di distribuzione con chiave Kerberos Microsoft
ID evento	37
Testo evento	Il Key Distribution Center (KDC) ha rilevato un ticket che non contiene informazioni sull'account che ha richiesto il ticket durante l'elaborazione di una richiesta per un altro ticket. Ciò impediva l'esecuzione dei controlli di sicurezza e poteva aprire vulnerabilità di protezione. Ticket PAC costruito da: <nome KDC> Client: <nome di dominio>\<> nome client Ticket per:> nome servizio <

Richiesta di mancata corrispondenza

Il KDC rileva un TGT o un altro ticket di prova e l'account per cui è stato richiesto il TGT o il ticket di prova non corrisponde all'account per cui è stato creato il ticket di servizio.

Registro eventi	Sistema
Tipo di evento	Errore
Origine evento	Centro di distribuzione con chiave Kerberos Microsoft
ID evento	38
Testo evento	Il Key Distribution Center (KDC) ha rilevato un ticket che conteneva informazioni incoerenti sull'account che ha richiesto il ticket. Questo potrebbe significare che l'account è stato rinominato da quando è stato emesso il biglietto, che potrebbe essere stato parte di un tentativo di exploit. Ticket PAC costruito da: <Kdc Name> Client: <> nome di dominio\<> nome utente Ticket per:> nome servizio < Richiesta dell'account SID da Active Directory: <> SID Richiesta dell'account SID dal ticket: <> SID

Problemi noti

Sintomo	Soluzione alternativa
Dopo l'installazione degli aggiornamenti di Windows rilasciati il 9 novembre 2021 o versione successiva nei controller di dominio, alcuni clienti potrebbero vedere il nuovo ID evento di controllo 37 registrato dopo determinate operazioni di impostazione della password o di modifica, ad esempio: Aggiornare o ripristinare il file CNO o VCO del cluster di failover Reimpostare la password di un utente dalla console di Utenti e computer di Active Directory (dsa.msc) Creare un nuovo utente dalla console di Utenti e computer di Active Directory (dsa.msc) Cambiare la password per i dispositivi di terze parti aggiunti a un dominio Se non vedi l'ID evento 37 dopo l'installazione degli aggiornamenti di Windows rilasciati il 9 novembre 2021 o versione successiva per una settimana e PacRequestorEnforcement è "1" o "2", significa che l'ambiente non è interessato. Se si imposta PacRequestorEnforcement = 1, l'ID evento 37 viene registrato come avviso, ma le richieste di modifica della password avranno esito positivo e non influiranno sugli utenti. Se si imposta PacRequestorEnforcement = 2, le richieste di modifica della password non riusciranno e causeranno anche l'esito negativo delle operazioni elencate sopra.	Questo problema è stato risolto nei seguenti aggiornamenti: Windows 11 - KB5011563 Windows Server 2022 - KB5011558 Windows 10, versione 20H2, Windows 10 versione 21H1 e Windows 10, versione 21H2 - KB5011543 Windows 10, versione 1809 e Windows Server 2019 - KB5011551 Windows 10, versione 1607 e Windows Server 2016 - KB5012596 Windows Server 2012 R2 - KB5012670 Windows Server 2012 - KB5012666 Windows Server 2008 R2 - KB5012649 Windows Server 2008 SP2 - KB5012632

Sintomo

Soluzione alternativa

Dopo l'installazione degli aggiornamenti di Windows rilasciati il 9 novembre 2021 o versione successiva nei controller di dominio, alcuni clienti potrebbero vedere il nuovo ID evento di controllo 37 registrato dopo determinate operazioni di impostazione della password o di modifica, ad esempio:

Aggiornare o ripristinare il file CNO o VCO del cluster di failover
Reimpostare la password di un utente dalla console di Utenti e computer di Active Directory (dsa.msc)
Creare un nuovo utente dalla console di Utenti e computer di Active Directory (dsa.msc)
Cambiare la password per i dispositivi di terze parti aggiunti a un dominio

Se non vedi l'ID evento 37 dopo l'installazione degli aggiornamenti di Windows rilasciati il 9 novembre 2021 o versione successiva per una settimana e PacRequestorEnforcement è "1" o "2", significa che l'ambiente non è interessato.

Se si imposta PacRequestorEnforcement = 1, l'ID evento 37 viene registrato come avviso, ma le richieste di modifica della password avranno esito positivo e non influiranno sugli utenti.

Se si imposta PacRequestorEnforcement = 2, le richieste di modifica della password non riusciranno e causeranno anche l'esito negativo delle operazioni elencate sopra.

Questo problema è stato risolto nei seguenti aggiornamenti:

Windows 11 - KB5011563
Windows Server 2022 - KB5011558
Windows 10, versione 20H2, Windows 10 versione 21H1 e Windows 10, versione 21H2 - KB5011543
Windows 10, versione 1809 e Windows Server 2019 - KB5011551
Windows 10, versione 1607 e Windows Server 2016 - KB5012596
Windows Server 2012 R2 - KB5012670
Windows Server 2012 - KB5012666
Windows Server 2008 R2 - KB5012649
Windows Server 2008 SP2 - KB5012632

Domande frequenti

D1 Cosa succede se si dispone di una combinazione di controller di dominio Active Directory aggiornati e non aggiornati?

A1. Una combinazione di controller di dominio aggiornati e non aggiornati, ma con il valore predefinito della chiave del Registro di sistema PacRequestorEnforcement pari a 1, sono compatibili tra loro. Tuttavia, Microsoft consiglia vivamente di non avere controller di dominio aggiornati e non aggiornati in un ambiente.

D2 Cosa succede se si dispone di una combinazione di controller di dominio Active Directory con vari valori PacRequestorEnforcement?

A2. Una combinazione di controller di dominio con valori PacRequestorEnforcement pari a 0 e 1 è compatibile tra loro. Una combinazione di controller di dominio con valori PacRequestorEnforcement pari a 1 e 2 è compatibile tra loro. Una combinazione di controller di dominio con valori PacRequestorEnforcement pari a 0 e 2 non è compatibile tra loro e potrebbe causare errori intermittenti. Per ulteriori informazioni, vedere la sezione Informazioni sulla chiave del Registro di sistema.