Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

Aggiornato il 20/03/2024 - Aggiunti riferimenti LDS

Riassunto

CVE-2021-42291 risolve una vulnerabilità di bypass di sicurezza che consente a determinati utenti di impostare valori arbitrari sugli attributi sensibili alla sicurezza di oggetti specifici archiviati in Active Directory (AD) o Lightweight Directory Service (LDS). Per sfruttare questa vulnerabilità, un utente deve disporre di privilegi sufficienti per creare un oggetto derivato dal computer, ad esempio un utente con autorizzazioni CreateChild per gli oggetti computer. L'utente potrebbe creare un account computer utilizzando una chiamata Lightweight Directory Access Protocol (LDAP) Add che consente l'accesso eccessivamente permissivo all'attributo securityDescriptor . Inoltre, creatori e proprietari possono modificare gli attributi sensibili alla sicurezza dopo la creazione di un account. Questa operazione può essere sfruttata per eseguire un'elevazione dei privilegi in determinati scenari.

NotaLDS registrerà gli eventi 3050, 3053, 3051 e 3054 relativi allo stato dell'accesso implicito agli oggetti, proprio come fa AD.

Le misure di prevenzione in CVE-2021-42291 sono costituite da:

  1. Verifica dell'autorizzazione aggiuntiva quando gli utenti senza diritti di amministratore di dominio o LDS tentano un'operazione di aggiunta LDAP per un oggetto derivato dal computer. Ciò include una modalità di controllo per impostazione predefinita che controlla quando tali tentativi si verificano senza interferire con la richiesta e una modalità di applicazione che blocca tali tentativi.

  2. Rimozione temporanea dei privilegi di proprietario implicito quando gli utenti senza diritti di amministratore di dominio tentano un'operazione di modifica LDAP sull'attributo securityDescriptor . Si verifica una verifica per verificare se l'utente sarebbe autorizzato a scrivere il descrittore di sicurezza senza privilegi di proprietario implicito. Ciò include anche una modalità di controllo per impostazione predefinita che controlla quando tali tentativi si verificano senza interferire con la richiesta e una modalità di applicazione che blocca tali tentativi.

Intervenire

Per proteggere l'ambiente ed evitare interruzioni, completare i passaggi seguenti:

  1. Aggiorna tutti i dispositivi che ospitano il controller di dominio Active Directory o il ruolo server LDS installando gli aggiornamenti più recenti di Windows. I controller di dominio con gli aggiornamenti del 9 novembre 2021 o successivi avranno le modifiche nella modalità di controllo per impostazione predefinita.DCs that have the november 9, 2021 or later updates will have the changes in Audit mode by default.

  2. Monitorare il registro eventi del servizio directory o di LDS per gli eventi 3044-3056 nei controller di dominio e nei server LDS con gli aggiornamenti di Windows del 9 novembre 2021 o successivi. Gli eventi registrati indicano che un utente potrebbe avere privilegi eccessivi per creare account computer con attributi arbitrari sensibili alla sicurezza. Segnala a Microsoft scenari imprevisti utilizzando un caso di supporto premier o unificato o l'Hub di Feedback. Un esempio di questi eventi è disponibile nella sezione Nuovi eventi aggiunti.

  3. Se la modalità di controllo non rileva privilegi imprevisti per un periodo di tempo sufficiente, passare alla modalità di applicazione per assicurarsi che non si verifichino risultati negativi. Segnala a Microsoft scenari imprevisti utilizzando un caso di supporto premier o unificato o l'Hub di Feedback.

Tempistiche degli aggiornamenti di Windows

Questi aggiornamenti di Windows verranno rilasciati in due fasi:

  1. Distribuzione iniziale: introduzione dell'aggiornamento, tra cui Audit-By-Default, Enforcement o Disable modalità configurabili usando l'attributo dSHeuristics .

  2. Distribuzione finale: applicazione per impostazione predefinita.

9 novembre 2021: fase di distribuzione iniziale

La fase di distribuzione iniziale inizia con l'aggiornamento di Windows rilasciato il 9 novembre 2021. Questa versione aggiunge il controllo delle autorizzazioni impostate dagli utenti senza diritti di amministratore di dominio durante la creazione o la modifica di un computer o di oggetti derivati dal computer. Vengono inoltre aggiunti un'applicazione e una modalità disabilitazione. È possibile impostare la modalità a livello globale per ogni foresta di Active Directory usando l'attributo dSHeuristics .

(Aggiornato il 15/12/2023) Fase di distribuzione finale

La fase di distribuzione finale può iniziare dopo aver completato i passaggi elencati nella sezione Azioni da intraprendere. Per passare alla modalità di applicazione, seguire le istruzioni nella sezione Linee guida per la distribuzione per impostare il 28° e il 29° bit sull'attributo dSHeuristics . Monitora quindi gli eventi 3044-3046. Segnalano quando la modalità di applicazione ha bloccato un'operazione di aggiunta o modifica LDAP che in precedenza era consentita in modalità di controllo. 

Linee guida per la distribuzione

Impostazione delle informazioni di configurazione

Dopo l'installazione di CVE-2021-42291, i caratteri 28 e 29 dell'attributo dSHeuristics controllano il comportamento dell'aggiornamento. L'attributo dSHeuristics esiste all'interno di ogni foresta di Active Directory e contiene le impostazioni per l'intera foresta. L'attributo dSHeuristics è un attributo dell'oggetto "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD) o "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<set di configurazione>" (LDS). Per altre informazioni, vedere 6.1.1.2.4.1.2 attributo dSHeuristics e DS-Heuristics .

Carattere 28: ulteriori verifiche AuthZ per le operazioni di aggiunta LDAP

0: la modalità di controllo per impostazione predefinita è abilitata. Un evento viene registrato quando gli utenti senza diritti di amministratore di dominio impostano il securityDescriptor o altri attributi su valori che potrebbero concedere autorizzazioni eccessive, potenzialmente consentendo l'utilizzo futuro, su nuovi oggetti ACTIVE Directory derivati dal computer.

1: la modalità di applicazione è abilitata. Ciò impedisce agli utenti senza diritti di amministratore di dominio di impostare il securityDescriptor o altri attributi su valori che potrebbero concedere autorizzazioni eccessive sugli oggetti ACTIVE Directory derivati dal computer. In questo caso, viene registrato anche un evento.

2: Disabilita il controllo aggiornato e non applica la sicurezza aggiunta. Scelta non consigliata.

Esempio: Se non sono abilitate altre impostazioni dSHeuristics nella foresta e si vuole passare alla modalità di applicazione per la verifica di autenticazione aggiuntiva, l'attributo dSHeuristics deve essere impostato su:

"0000000001000000000200000001"

I caratteri impostati in questo caso sono:
10th char: deve essere impostato su 1 se l'attributo dSHeuristics è di almeno 10 caratteri
20th char: Deve essere impostato su 2 se l'attributo dSHeuristics è di almeno 20 caratteri
28th char: deve essere impostato su 1 per abilitare la modalità di applicazione per la verifica autenticazione aggiuntiva

Carattere 29 : rimozione temporanea del proprietario implicito per le operazioni di modifica LDAP

0: la modalità di controllo per impostazione predefinita è abilitata. Un evento viene registrato quando gli utenti senza diritti di amministratore di dominio impostano il securityDescriptor su valori che potrebbero concedere autorizzazioni eccessive, potenzialmente consentendo l'utilizzo futuro, su oggetti ACTIVE Directory derivati dal computer esistenti.

1: la modalità di applicazione è abilitata. Ciò impedisce agli utenti senza diritti di amministratore di dominio di impostare il securityDescriptor su valori che potrebbero concedere autorizzazioni eccessive per gli oggetti ACTIVE Directory derivati dal computer esistenti. In questo caso, viene registrato anche un evento.

2:Disabilita il controllo aggiornato e non applica la sicurezza aggiunta. Scelta non consigliata.

Esempio: Se il flag dsHeuristics delle verifiche aggiuntive di autenticazione è impostato solo nella foresta e si vuole passare alla modalità di applicazione per la rimozione temporanea della proprietà implicita, l'attributo dSHeuristics deve essere impostato su:

"00000000010000000002000000011"

I caratteri impostati in questo caso sono:
10th char: deve essere impostato su 1 se l'attributo dSHeuristics è di almeno 10 caratteri
20th char: Deve essere impostato su 2 se l'attributo dSHeuristics è di almeno 20 caratteri
28th char: deve essere impostato su 1 per abilitare la modalità di applicazione per la verifica
autenticazione aggiuntiva 29th char: deve essere impostato su 1 per abilitare la modalità di applicazione per la rimozione implicita temporanea della proprietà

Nuovi eventi aggiunti

L'aggiornamento di Windows del 9 novembre 2021 aggiungerà anche nuovi log eventi.

Eventi di modifica della modalità: verifica autenticazione aggiuntiva per le operazioni di aggiunta LDAP

Eventi che si verificano quando viene modificato il bit 28 dell'attributo dSHeuristics , che modifica la modalità delle verifiche Aggiuntive autenticazione per la parte operazioni di aggiunta LDAP dell'aggiornamento.

Registro eventi

Servizi directory

Tipo di evento

Informativo

ID evento

3050

Testo evento

La directory è stata configurata per applicare l'autorizzazione per attributo durante le operazioni di aggiunta LDAP.

Questa è l'impostazione più sicura e non sono necessarie altre azioni.

Registro eventi

Servizi directory

Tipo di evento

Attenzione

ID evento

3051

Testo evento

La directory è stata configurata per non applicare l'autorizzazione per attributo durante le operazioni di aggiunta LDAP. Gli eventi di avviso verranno registrati, ma nessuna richiesta verrà bloccata.

Questa impostazione non è sicura e deve essere usata solo come passaggio temporaneo per la risoluzione dei problemi. Leggi le misure di prevenzione suggerite nel collegamento seguente.

Registro eventi

Servizi directory

Tipo di evento

Errore

ID evento

3052

Testo evento

La directory è stata configurata per non applicare l'autorizzazione per attributo durante le operazioni di aggiunta LDAP. Non verrà registrato alcun evento e nessuna richiesta verrà bloccata.

Questa impostazione non è sicura e deve essere usata solo come passaggio temporaneo per la risoluzione dei problemi. Leggi le misure di prevenzione suggerite nel collegamento seguente.

Eventi di modifica della modalità: rimozione temporanea dei diritti di proprietario implicito

Eventi che si verificano quando viene modificato il bit 29 dell'attributo dSHeuristics , che modifica la modalità della rimozione temporanea dei diritti di proprietario implicito dell'aggiornamento.

Registro eventi

Servizi directory

Tipo di evento

Informativo

ID evento

3053

Testo evento

La directory è stata configurata per bloccare i privilegi di proprietario implicito durante l'impostazione iniziale o la modifica dell'attributo nTSecurityDescriptor durante le operazioni di aggiunta e modifica LDAP.

Questa è l'impostazione più sicura e non sono necessarie altre azioni.

Registro eventi

Servizi directory

Tipo di evento

Attenzione

ID evento

3054

Testo evento

La directory è stata configurata per consentire privilegi di proprietario implicito durante l'impostazione iniziale o la modifica dell'attributo nTSecurityDescriptor durante le operazioni di aggiunta e modifica LDAP. Gli eventi di avviso verranno registrati, ma nessuna richiesta verrà bloccata.

Questa impostazione non è sicura e deve essere usata solo come passaggio temporaneo per la risoluzione dei problemi. 

Registro eventi

Servizi directory

Tipo di evento

Errore

ID evento

3055

Testo evento

La directory è stata configurata per consentire privilegi di proprietario implicito durante l'impostazione iniziale o la modifica dell'attributo nTSecurityDescriptor durante le operazioni di aggiunta e modifica LDAP. Non verrà registrato alcun evento e nessuna richiesta verrà bloccata.

Questa impostazione non è sicura e deve essere usata solo come passaggio temporaneo per la risoluzione dei problemi. 

Eventi della modalità di controllo

Eventi che si verificano in modalità di controllo per registrare potenziali problemi di sicurezza relativi a un'operazione di aggiunta o modifica LDAP.

Registro eventi

Servizi directory

Tipo di evento

Attenzione

ID evento

3047

Testo evento

Il servizio directory ha rilevato una richiesta di aggiunta LDAP per l'oggetto seguente che normalmente sarebbe stata bloccata per i motivi di sicurezza seguenti.

Il client non disponeva dell'autorizzazione per scrivere uno o più attributi inclusi nella richiesta di aggiunta, in base al descrittore di sicurezza unito predefinito.

La richiesta è stata consentita perché la directory è attualmente configurata in modalità di sola verifica per questo controllo di sicurezza.

DN oggetto: <> DN dell'oggetto creato

Classe Object: <> objectClass dell'oggetto creato

Utente: <utente che ha tentato l'aggiunta LDAP>

Indirizzo IP client: <l'INDIRIZZO IP del richiedente>

Livello di sicurezza: <l'SD tentato>

Registro eventi

Servizi directory

Tipo di evento

Attenzione

ID evento

3048

Testo evento

Il servizio directory ha rilevato una richiesta di aggiunta LDAP per l'oggetto seguente che normalmente sarebbe stata bloccata per i motivi di sicurezza seguenti.

Il client includeva un attributo nTSecurityDescriptor nella richiesta di aggiunta, ma non disponeva dell'autorizzazione esplicita per scrivere una o più parti del nuovo descrittore di sicurezza, in base al descrittore di sicurezza unito predefinito.

La richiesta è stata consentita perché la directory è attualmente configurata in modalità di sola verifica per questo controllo di sicurezza.

DN oggetto: <> DN dell'oggetto creato

Classe Object: <> objectClass dell'oggetto creato

Utente: <utente che ha tentato l'aggiunta LDAP>

Indirizzo IP client: <l'INDIRIZZO IP del richiedente>

Registro eventi

Servizi directory

Tipo di evento

Attenzione

ID evento

3049

Testo evento

Il servizio directory ha rilevato una richiesta di modifica LDAP per l'oggetto seguente che normalmente sarebbe stata bloccata per i motivi di sicurezza seguenti.

Il client includeva un attributo nTSecurityDescriptor nella richiesta di aggiunta, ma non disponeva dell'autorizzazione esplicita per scrivere una o più parti del nuovo descrittore di sicurezza, in base al descrittore di sicurezza unito predefinito.

La richiesta è stata consentita perché la directory è attualmente configurata in modalità di sola verifica per questo controllo di sicurezza.

DN oggetto: <> DN dell'oggetto creato

Classe Object: <> objectClass dell'oggetto creato

Utente: <utente che ha tentato l'aggiunta LDAP>

Indirizzo IP client: <l'INDIRIZZO IP del richiedente>

Registro eventi

Servizi directory

Tipo di evento

Attenzione

ID evento

3056

Testo evento

Il servizio directory ha elaborato una query per l'attributo sdRightsEffective sull'oggetto specificato di seguito. La maschera di accesso restituita include WRITE_DAC, ma solo perché la directory è stata configurata per consentire privilegi di proprietario impliciti che non è un'impostazione sicura.

DN oggetto: <> DN dell'oggetto creato

Utente: <utente che ha tentato l'aggiunta LDAP>

Indirizzo IP client: <l'INDIRIZZO IP del richiedente>

Modalità di applicazione - Errori di aggiunta LDAP

Eventi che si verificano quando viene negata un'operazione di aggiunta LDAP.

Registro eventi

Servizi directory

Tipo di evento

Attenzione

ID evento

3044

Testo evento

Il servizio directory ha negato una richiesta di aggiunta LDAP per l'oggetto seguente. La richiesta è stata rifiutata perché il client non disponeva dell'autorizzazione per scrivere uno o più attributi inclusi nella richiesta di aggiunta, in base al descrittore di sicurezza unito predefinito.

DN oggetto: <> DN dell'oggetto creato

Classe Object: <> objectClass dell'oggetto creato

Utente: <utente che ha tentato l'aggiunta LDAP>

Indirizzo IP client: <l'INDIRIZZO IP del richiedente>

Livello di sicurezza: <l'SD tentato>

Registro eventi

Servizi directory

Tipo di evento

Attenzione

ID evento

3045

Testo evento

Il servizio directory ha negato una richiesta di aggiunta LDAP per l'oggetto seguente. La richiesta è stata rifiutata perché il client includeva un attributo nTSecurityDescriptor nella richiesta di aggiunta, ma non disponeva dell'autorizzazione esplicita per scrivere una o più parti del nuovo descrittore di sicurezza, in base al descrittore di sicurezza unito predefinito.

DN oggetto: <> DN dell'oggetto creato

Classe Object: <> objectClass dell'oggetto creato

Utente: <utente che ha tentato l'aggiunta LDAP>

Indirizzo IP client: <l'INDIRIZZO IP del richiedente>

Modalità di applicazione - Errori di modifica LDAP

Eventi che si verificano quando viene negata un'operazione di modifica LDAP.

Registro eventi

Servizi directory

Tipo di evento

Attenzione

ID evento

3046

Testo evento

Il servizio directory ha negato una richiesta di modifica LDAP per l'oggetto seguente. La richiesta è stata rifiutata perché il client includeva un attributo nTSecurityDescriptor nella richiesta di modifica, ma non disponeva dell'autorizzazione esplicita per scrivere una o più parti del nuovo descrittore di sicurezza, in base al descrittore di sicurezza esistente dell'oggetto.

DN oggetto: <> DN dell'oggetto creato

Classe Object: <> objectClass dell'oggetto creato

Utente: <utente che ha tentato l'aggiunta LDAP>

Indirizzo IP client: <l'INDIRIZZO IP del richiedente>

Domande frequenti

D1 Cosa succede se si dispone di una combinazione di controller di dominio Active Directory aggiornati e non aggiornati?

A1 I controller di dominio non aggiornati non registrano gli eventi correlati a questa vulnerabilità.

D2 Cosa devo fare per i controller di dominio Read-Only?

A2 Niente; Le operazioni di aggiunta e modifica LDAP non possono essere destinate a rodc.

Q3 Ho un prodotto o processo di terze parti che ha esito negativo dopo l'abilitazione della modalità di applicazione. È necessario concedere i diritti di amministratore del servizio o del dominio utente?

A3 In genere non è consigliabile aggiungere un servizio o un utente al gruppo Domain Administrators come prima soluzione al problema. Esaminare i registri eventi per vedere quali autorizzazioni specifiche sono necessarie e valutare la possibilità di delegare diritti limitati in modo appropriato per l'utente in un'unità organizzativa separata designata a tale scopo.

D4 Vedo gli eventi di controllo anche per i server LDS. Perché succede così?

A4Tutti i precedenti si applicano anche ad AD LDS, anche se è molto insolito avere oggetti di computer in LDS. Le misure di prevenzione devono essere adottate anche per abilitare la protezione per AD LDS quando la modalità di controllo non rileva privilegi imprevisti.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×