Riepilogo
Gli aggiornamenti dell'11 gennaio 2022 Windows e successivi aggiornamenti Windows aggiungono protezioni per CVE-2022-21913.
Dopo l'installazione dell'11 gennaio 2022, degli aggiornamenti di Windows o degli aggiornamenti Windows successivi, la crittografia AES (Advanced Encryption Standard) verrà impostata come metodo di crittografia preferito nei client Windows quando si usa il protocollo LEGACY Local Security Authority (Domain Policy) (MS-LSAD) per le operazioni di password degli oggetti dominio trusted inviate tramite una rete. Questo vale solo se la crittografia AES è supportata dal server. Se la crittografia AES non è supportata dal server, il sistema consentirà il fallback alla crittografia RC4 legacy.
Le modifiche apportate in CVE-2022-21913 sono specifiche del protocollo MS-LSAD. Sono indipendenti da altri protocolli. MS-LSAD usa Server Message Block (SMB) su una chiamata di procedura remota
(RPC) e named pipe. Anche se SMB supporta anche la crittografia, non è abilitato per impostazione predefinita. Per impostazione predefinita, le modifiche apportate in CVE-2022-21913 sono abilitate e forniscono ulteriore sicurezza a livello di LSAD. Non sono necessarie altre modifiche alla configurazione oltre all'installazione delle protezioni per CVE-2022-21913 incluse negli aggiornamenti di Windows dell'11 gennaio 2022 e nelle versioni successive di Windows in tutte le versioni supportate di Windows. Le versioni non supportate Windows devono essere sospese o aggiornate a una versione supportata.
Nota CVE-2022-21913 modifica solo il modo in cui le password di trust vengono crittografate in transito quando si usano API specifiche del protocollo MS-LSAD e in particolare non si modifica la modalità di archiviazione delle password. Per altre informazioni su come le password vengono crittografate a riposo in Active Directory e in locale nel database SAM (Registro di sistema), vedere Panoramica tecnica sulle password.
Ulteriori informazioni
Modifiche apportate dagli aggiornamenti dell'11 gennaio 2022
-
Modello a oggetti criteri
Gli aggiornamenti modificano il modello di oggetto criterio del protocollo aggiungendo un nuovo metodo Open Policy che consente al client e al server di condividere informazioni sul supporto AES.Metodo precedente con RC4
Nuovo metodo con AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Per un elenco completo delle opnum del protocollo MS-LSAR, vedere [MS-LSAD]: Eventidi elaborazione dei messaggi e regole di sequenziamento.
-
Modello di oggetto dominio trusted
Gli aggiornamenti modificano il modello di creazione di oggetti dominio trusted del protocollo aggiungendo un nuovo metodo per creare un trust che userà AES per crittografare i dati di autenticazione.
L'API LsaCreateTrustedDomainEx preferirà ora il nuovo metodo se il client e il server vengono entrambi aggiornati e in caso contrario il metodo precedente.
Metodo precedente con RC4
Nuovo metodo con AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
Gli aggiornamenti modificano il modello set di oggetti di dominio trusted del protocollo aggiungendo due nuove classi di informazioni attendibili ai metodi LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). È possibile impostare le informazioni sull'oggetto dominio trusted nel modo seguente.
Metodo precedente con RC4
Nuovo metodo con AES
LsarSetInformationTrustedDomain (Opnum 27) insieme a TrustedDomainAuthInformationInternal o TrustedDomainFullInformationInternal (contiene una password di trust crittografata che usa RC4)
LsarSetInformationTrustedDomain (Opnum 27) insieme a TrustedDomainAuthInformationInternalAes o TrustedDomainFullInformationAes (contiene una password di trust crittografata che usa AES)
LsarSetTrustedDomainInfoByName (Opnum 49) insieme a TrustedDomainAuthInformationInternal o TrustedDomainFullInformationInternal (contiene una password di trust crittografata che usa RC4 e tutti gli altri attributi)
LsarSetTrustedDomainInfoByName (Opnum 49) insieme a TrustedDomainAuthInformationInternalAes o TrustedDomainFullInformationInternalAes (contiene una password di trust crittografata che usa AES e tutti gli altri attributi)
Come funziona il nuovo comportamento
Il metodo LsarOpenPolicy2 esistente viene in genere usato per aprire un handle di contesto per il server RPC. Si tratta della prima funzione che deve essere chiamata per contattare il database Remote Protocol dell'Autorità di sicurezza locale (Criteri di dominio). Dopo aver installato questi aggiornamenti, il metodo LsarOpenPolicy2 viene sostituito dal nuovo metodo LsarOpenPolicy3.
Un client aggiornato che chiama l'API LsaOpenPolicy chiamerà prima il metodo LsarOpenPolicy3. Se il server non viene aggiornato e non implementa il metodo LsarOpenPolicy3, il client esegue il rollback al metodo LsarOpenPolicy2 e usa i metodi precedenti che utilizzano la crittografia RC4.
Un server aggiornato restituirà un nuovo bit nella risposta al metodo LsarOpenPolicy3, come definito in LSAPR_REVISION_INFO_V1. Per altre informazioni, vedere le sezioni "AES Cipher Usage" e "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" in MS-LSAD.
Se il server supporta AES, il client userà i nuovi metodi e le nuove classi di informazioni per le successive operazioni di "creazione" e "impostazione" del dominio trusted. Se il server non restituisce questo flag o se il client non viene aggiornato, il client torna a usare i metodi precedenti che usano la crittografia RC4.
Registrazione eventi
Gli aggiornamenti dell'11 gennaio 2022 aggiungono un nuovo evento al log eventi di sicurezza per identificare i dispositivi non aggiornati e migliorare la sicurezza.
|
Valore |
Significato |
|---|---|
|
Origine evento |
Microsoft-Windows-Security |
|
ID evento |
6425 |
|
Livella |
Informazioni |
|
Testo del messaggio dell'evento |
Un client di rete ha usato un metodo RPC legacy per modificare le informazioni di autenticazione in un oggetto dominio trusted. Le informazioni di autenticazione sono crittografate con un algoritmo di crittografia legacy. Valutare l'aggiornamento del sistema operativo client o dell'applicazione per usare la versione più recente e sicura di questo metodo. Dominio trusted:
Modificato da:
Indirizzo di rete client: Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2161080. |
Domande frequenti
D1: Quali scenari attivano un downgrade da AES a RC4?
A1: Se il server o il client non supporta AES, si verifica un downgrade.
D2: Come è possibile stabilire se è stata negoziata la crittografia RC4 o AES?
A2: I server aggiornati registrano l'evento 6425 quando vengono usati metodi legacy che usano RC4.
D3: È possibile richiedere la crittografia AES nel server e verranno applicati Windows aggiornamenti a livello di programmazione con AES?
A3: Al momento non è disponibile alcuna modalità di applicazione. Tuttavia, potrebbero esserci in futuro, anche se tale modifica non è pianificata.
D4: I client di terze parti supportano le protezioni per CVE-2022-21913 per negoziare AES quando sono supportati dal server? Devo contattare il supporto Microsoft o il team di supporto di terze parti per rispondere a questa domanda?
A4: Se un dispositivo o un'applicazione di terze parti non usa il protocollo MS-LSAD, questo non è importante. I fornitori di terze parti che implementano il protocollo MS-LSAD potrebbero scegliere di implementare questo protocollo. Per altre informazioni, contattare il fornitore di terze parti.
D5: È necessario apportare altre modifiche alla configurazione?
A5: Non sono necessarie altre modifiche alla configurazione.
D6: Cosa usa questo protocollo?
A6: Il protocollo MS-LSAD viene usato da molti Windows, tra cui Active Directory e strumenti come la console Domini e trust di Active Directory. Le applicazioni potrebbero usare questo protocollo anche tramite API di libreria advapi32, ad esempio LsaOpenPolicy o LsaCreateTrustedDomainEx.
