업데이트: 2024년 3월 20일 – LDS 참조 추가
요약
CVE-2021-42291은 AD(Active Directory) 또는 LDS(Lightweight Directory Service)에 저장된 특정 개체의 보안에 민감한 특성에 대해 임의의 값을 설정할 수 있는 보안 우회 취약성을 해결합니다. 이 취약성을 악용하려면 컴퓨터 개체에 대한 CreateChild 사용 권한이 부여된 사용자와 같은 컴퓨터 파생 개체를 만들 수 있는 충분한 권한이 있어야 합니다. 해당 사용자는 LDAP(경량 디렉터리 액세스 프로토콜)를 사용하여 컴퓨터 계정을 만들 수 있습니다. securityDescriptor 특성에 대한 과도하게 허용된 액세스를 허용하는 호출 추가. 또한 크리에이터 및 소유자는 계정을 만든 후 보안에 민감한 특성을 수정할 수 있습니다. 이를 활용하여 특정 시나리오에서 권한 상승을 수행할 수 있습니다.
참고 LDS는 AD와 마찬가지로 개체에 대한 암시적 액세스의 상태에 대한 이벤트 3050, 3053, 3051, 3054를 기록합니다.
CVE-2021-42291의 완화는 다음과 같습니다:
-
도메인 또는 LDS 관리자 권한이 없는 사용자가 컴퓨터 파생 개체에 대해 LDAP 추가 작업을 시도할 때 추가 권한 부여 확인. 여기에는 요청에 지장 없이 이러한 시도가 발생할 때 감사하는 감사 기본 모드와 이러한 시도를 차단하는 적용 모드가 포함됩니다.
-
도메인 관리자 권한이 없는 사용자가 securityDescriptor 특성에서 LDAP 수정 작업을 시도할 때 암시적 소유자 권한을 임시로 제거합니다. 사용자가 암시적 소유자 권한 없이 보안 설명자를 작성할 수 있도록 허용될지 확인하는 확인이 발생합니다. 또한 요청에 지장 없이 이러한 시도가 발생할 때 감사하는 감사 기본 모드와 이러한 시도를 차단하는 적용 모드도 포함됩니다.
조치 취하기
환경을 보호하고 정전을 방지하기 위해 다음 단계를 완료하세요:
-
최신 Windows 업데이트를 설치하여 Active Directory 도메인 컨트롤러 또는 LDS 서버 역할을 호스트하는 모든 디바이스를 업데이트합니다. 2021년 11월 9일 및 이후 업데이트가 있는 DC는 기본적으로 감사 모드에서 변경이 적용됩니다.
-
2021년 11월 9일 이후 Windows 업데이트가 있는 도메인 컨트롤러와 LDS 서버에서 디렉터리 서비스 또는 LDS 이벤트 로그에 대한 3044-3056 이벤트를 모니터링합니다. 기록된 이벤트는 사용자가 임의의 보안에 민감한 특성을 사용하여 컴퓨터 계정을 만들 수 있는 과도한 권한이 있을 수 있습니다. Premier 또는 통합 지원 또는 피드백 허브를 사용하여 예기치 않은 시나리오를 Microsoft에 보고합니다. (이러한 이벤트의 예는 새로 추가된 이벤트 섹션에서 찾을 수 있습니다.)
-
감사 모드가 충분한 시간 동안 예기치 않은 권한을 감지하지 못하면 적용 모드로 전환하여 부정적인 결과가 발생하지 않도록 합니다. Premier 또는 통합 지원 또는 피드백 허브를 사용하여 예기치 않은 시나리오를 Microsoft에 보고합니다.
Windows 업데이트 시기
이 Windows 업데이트는 두 단계로 릴리스됩니다.
-
초기 배포 – dSHeuristics 특성을 사용하여 구성할 수 있는 감사-기본적으로, 적용 또는 사용 안 하게 설정 모드를 포함하여 업데이트 소개.
-
최종 배포 – 기본적으로 적용됨.
2021년 11월 9일: 초기 배포 단계
두 번째 배포 단계는 2021년 11월 9일에 릴리스된 Windows 업데이트로 시작됩니다. 이 릴리스는 컴퓨터 또는 컴퓨터 파생 개체를 만들거나 수정하는 동안 도메인 관리자 권한이 없는 사용자가 설정한 권한에 대한 감사를 추가합니다. 또한 적용 및 사용하지 않도록 설정 모드를 추가합니다. dSHeuristics 특성을 사용하여 각 Active Directory 포리스트에 대해 전역적으로 모드를 설정할 수 있습니다.
(2023년 12월 15일 업데이트됨) 최종 배포 단계
작업 수행 섹션에 나열된 단계를 완료하면 최종 배포 단계를 시작할 수 있습니다. 적용 모드로 이동하려면 배포 지침 섹션의 지침에 따라 dSHeuristics 특성에 대해 28번째 및 29번째 비트를 설정합니다. 그런 다음 이벤트 3044-3046을 모니터링합니다. 이전에 감사 모드에서 허용되었을 수 있는 LDAP 추가 또는 수정 작업을 적용 모드가 차단한 경우를 보고합니다.
배포 지침
구성 정보 설정
CVE-2021-42291을 설치한 후에는 dSHeuristics 특성의 문자 28과 29가 업데이트 동작을 제어합니다. dSHeuristics 특성은 각 Active Directory 포리스트 내에 있으며 전체 포리스트에 대한 설정을 포함합니다. dSHeuristics 특성은 "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>"(AD) 또는 "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>"(LDS) 개체의 특성입니다. 자세한 내용은 6.1.1.2.4.1.2 dSHeuristics 및 DS-Heuristics 특성을 확인하세요.
문자 28 – LDAP 추가 작업을 위한 추가적 AuthZ 검증
0: 감사-기본 모드가 활성화되어 있습니다. 도메인 관리자 권한이 없는 사용자가 securityDescriptor 또는 기타 특성을 과도한 권한을 부여할 수 있는 값으로 설정하면 이벤트가 기록됩니다. 잠재적으로 새 컴퓨터 파생 AD 개체에서 향후 악용을 허용할 수 있습니다.
1: 적용 모드가 활성화되어 있습니다. 이렇게 하면 도메인 관리자 권한이 없는 사용자가 computer-파생 AD 개체에 과도한 권한을 부여할 수 있는 값으로 securityDescriptor 또는 기타 특성을 설정하지 못하게 됩니다. 이 경우 이벤트도 기록됩니다.
2: 업데이트된 감사를 사용하지 않도록 설정하고 추가된 보안을 적용하지 않습니다. 권장하지 않음.
예: 포리스트에서 다른 dSHeuristics 설정을 사용하도록 설정하지 못하고 추가 AuthZ 확인을 위해 적용 모드로 전환하려는 경우 dSHeuristics 특성은 다음으로 설정해야 합니다.
“0000000001000000000200000001”
이 경우 설정하는 문자는 다음과 같습니다.
10번째 문자: dSHeuristics 속성이 10자 이상이면 1로 설정
20번째 문자: dSHeuristics 속성이 20자 이상이면 2로 설정
28번째 문자: 적용 모드에서 추가 AuthZ 확인을 수행할 수 있도록 하려면 1로 설정
문자 29 – LDAP 수정 작업을 위한 암시적 소유자 임시 제거
0: 감사-기본 모드가 활성화되어 있습니다. 도메인 관리자 권한이 없는 사용자가 securityDescriptor를 과도한 권한을 부여할 수 있는 값으로 설정하면 이벤트가 기록됩니다. 잠재적으로 기존 컴퓨터 파생 AD 개체에서 향후 악용을 허용할 수 있습니다.
1: 적용 모드가 활성화되어 있습니다. 이렇게 하면 도메인 관리자 권한이 없는 사용자가 기존 컴퓨터 파생 AD 개체에 과도한 권한을 부여할 수 있는 값으로 securityDescriptor를 설정할 수 없습니다. 이 경우 이벤트도 기록됩니다.
2: 업데이트된 감사를 사용하지 않도록 설정하고 추가된 보안을 적용하지 않습니다. 권장하지 않음.
예: 포리스트에 추가 AuthZ 확인 dsHeuristics 플래그가 설정되어 있으며 임시 암시적 소유권 제거를 위해 적용 모드로 전환하려는 경우 dSHeuristics 특성은 다음으로 설정해야 합니다.
“00000000010000000002000000011”
이 경우 설정 문자는 다음과 같습니다.
10번째 문자: dSHeuristics 속성이 10자 이상이면 1로 설정
20번째 문자: dSHeuristics 속성이 20자 이상이면 2로 설정
28번째 문자: 적용 모드에서 추가 AuthZ 확인을 수행할 수 있도록 하려면 1로 설정
29번째 문자: 적용 모드에서 임시적으로 암시적 소유권을 삭제할 수 있도록 하려면 1로 설정
새로 추가된 이벤트
2021년 11월 9일 Windows 이벤트 로그도 추가됩니다.
모드 변경 이벤트 - LDAP 추가 작업에 대한 추가 AuthZ 확인
dSHeuristics 속성의 비트 28이 변경될 때 발생하는 이벤트로, 업데이트의 LDAP 동작 추가 부분에 대해 추가적인 AuthZ 확인의 모드를 변경합니다.
|
이벤트 로그 |
Directory Services |
|
이벤트 형식 |
정보 제공 |
|
이벤트 ID |
3050 |
|
이벤트 텍스트 |
디렉터리는 LDAP 추가 작업 중에 특성당 권한 부여를 적용하도록 구성되었습니다. 이 설정은 가장 안전한 설정으로, 추가 작업이 필요하지 않습니다. |
|
이벤트 로그 |
Directory Services |
|
이벤트 형식 |
경고 |
|
이벤트 ID |
3051 |
|
이벤트 텍스트 |
디렉터리는 LDAP 추가 작업 중에 특성당 권한 부여를 적용하지 못하도록 구성되었습니다. 경고 이벤트는 기록되지만 요청이 차단되지 않습니다. 이 설정은 안전하지 않습니다. 임시 문제 해결 단계로만 사용해야 합니다. 아래 링크에서 제안된 완화를 검토하세요. |
|
이벤트 로그 |
Directory Services |
|
이벤트 형식 |
Error |
|
이벤트 ID |
3052 |
|
이벤트 텍스트 |
디렉터리는 LDAP 추가 작업 중에 특성당 권한 부여를 적용하지 못하도록 구성되었습니다. 이벤트가 기록되지 않습니다. 요청이 차단되지 않습니다. 이 설정은 안전하지 않습니다. 임시 문제 해결 단계로만 사용해야 합니다. 아래 링크에서 제안된 완화를 검토하세요. |
모드 변경 이벤트 - 암시적 소유자 권한의 임시 제거
업데이트의 암시적 소유자 권한 부분의 임시 제거 모드를 변경하는 dSHeuristics 속성의 비트 29가 변경될 때 발생하는 이벤트입니다.
|
이벤트 로그 |
Directory Services |
|
이벤트 형식 |
정보 제공 |
|
이벤트 ID |
3053 |
|
이벤트 텍스트 |
디렉터리는 LDAP 추가 및 수정 작업 중에 nTSecurityDescriptor 특성을 처음 설정하거나 수정할 때 암시적 소유자 권한을 차단하도록 구성되었습니다. 이 설정은 가장 안전한 설정으로, 추가 작업이 필요하지 않습니다. |
|
이벤트 로그 |
Directory Services |
|
이벤트 형식 |
경고 |
|
이벤트 ID |
3054 |
|
이벤트 텍스트 |
디렉터리는 LDAP 추가 및 수정 작업 중에 nTSecurityDescriptor 특성을 처음 설정하거나 수정할 때 암시적 소유자 권한을 허용하도록 구성되었습니다. 경고 이벤트는 기록되지만 요청이 차단되지 않습니다. 이 설정은 안전하지 않습니다. 임시 문제 해결 단계로만 사용해야 합니다. |
|
이벤트 로그 |
Directory Services |
|
이벤트 형식 |
Error |
|
이벤트 ID |
3055 |
|
이벤트 텍스트 |
디렉터리는 LDAP 추가 및 수정 작업 중에 nTSecurityDescriptor 특성을 처음 설정하거나 수정할 때 암시적 소유자 권한을 허용하도록 구성되었습니다. 이벤트가 기록되지 않습니다. 요청이 차단되지 않습니다. 이 설정은 안전하지 않습니다. 임시 문제 해결 단계로만 사용해야 합니다. |
감사 모드 이벤트
감사 모드에서 발생하는 이벤트는 LDAP 추가 또는 수정 작업으로 잠재적인 보안 문제를 기록합니다.
|
이벤트 로그 |
Directory Services |
|
이벤트 형식 |
경고 |
|
이벤트 ID |
3047 |
|
이벤트 텍스트 |
디렉터리 서비스는 다음 보안상의 이유로 일반적으로 차단된 다음 개체에 대한 LDAP 추가 요청을 검색했습니다. 클라이언트는 기본 병합된 보안 설명자에 따라 추가 요청에 포함된 하나 이상의 특성을 작성할 수 있는 권한이 없습니다. 디렉터리가 현재 이 보안 검사에 대한 감사 전용 모드로 구성되어 있기 때문에 요청을 계속할 수 있습니다. 개체 DN: <created object’s DN> 개체 클래스: <created object’s objectClass> 사용자: <user who attempted the LDAP add> 클라이언트 IP 주소: <the IP of the requestor> 보안 desc: <the SD that was attempted> |
|
이벤트 로그 |
Directory Services |
|
이벤트 형식 |
경고 |
|
이벤트 ID |
3048 |
|
이벤트 텍스트 |
디렉터리 서비스는 다음 보안상의 이유로 일반적으로 차단된 다음 개체에 대한 LDAP 추가 요청을 검색했습니다. 클라이언트는 추가 요청에 nTSecurityDescriptor 특성을 포함했지만 기본 병합된 보안 설명자에 따라 새 보안 설명자 중 하나 이상을 작성할 수 있는 명시적 권한이 없습니다. 디렉터리가 현재 이 보안 검사에 대한 감사 전용 모드로 구성되어 있기 때문에 요청을 계속할 수 있습니다. 개체 DN: <created object’s DN> 개체 클래스: <created object’s objectClass> 사용자: <user who attempted the LDAP add> 클라이언트 IP 주소: <the IP of the requestor> |
|
이벤트 로그 |
Directory Services |
|
이벤트 형식 |
경고 |
|
이벤트 ID |
3049 |
|
이벤트 텍스트 |
디렉터리 서비스는 다음 보안상의 이유로 일반적으로 차단된 다음 개체에 대한 LDAP 수정 요청을 검색했습니다. 클라이언트는 추가 요청에 nTSecurityDescriptor 특성을 포함했지만 기본 병합된 보안 설명자에 따라 새 보안 설명자 중 하나 이상을 작성할 수 있는 명시적 권한이 없습니다. 디렉터리가 현재 이 보안 검사에 대한 감사 전용 모드로 구성되어 있기 때문에 요청을 계속할 수 있습니다. 개체 DN: <created object’s DN> 개체 클래스: <created object’s objectClass> 사용자: <user who attempted the LDAP add> 클라이언트 IP 주소: <the IP of the requestor> |
|
이벤트 로그 |
Directory Services |
|
이벤트 형식 |
경고 |
|
이벤트 ID |
3056 |
|
이벤트 텍스트 |
디렉터리 서비스는 아래에 지정된 개체의 sdRightsEffective 특성에 대한 쿼리를 처리했습니다. 반환된 액세스 마스크는 WRITE_DAC 보안 설정이 아닌 암시적 소유자 권한을 허용하도록 디렉터리가 구성되어 있기 때문에만 포함됩니다. 개체 DN: <created object’s DN> 사용자: <user who attempted the LDAP add> 클라이언트 IP 주소: <the IP of the requestor> |
적용 모드 - LDAP 오류 추가
LDAP 추가 작업이 거부될 때 발생하는 이벤트입니다.
|
이벤트 로그 |
Directory Services |
|
이벤트 형식 |
경고 |
|
이벤트 ID |
3044 |
|
이벤트 텍스트 |
디렉터리 서비스는 다음 개체에 대한 LDAP 추가 요청을 거부했습니다. 클라이언트가 기본 병합된 보안 설명자에 따라 추가 요청에 포함된 하나 이상의 특성을 작성할 수 있는 권한이 없는 경우 요청이 거부됩니다. 개체 DN: <created object’s DN> 개체 클래스: <created object’s objectClass> 사용자: <user who attempted the LDAP add> 클라이언트 IP 주소: <the IP of the requestor> 보안 desc: <the SD that was attempted> |
|
이벤트 로그 |
Directory Services |
|
이벤트 형식 |
경고 |
|
이벤트 ID |
3045 |
|
이벤트 텍스트 |
디렉터리 서비스는 다음 개체에 대한 LDAP 추가 요청을 거부했습니다. 클라이언트가 추가 요청에 nTSecurityDescriptor 특성을 포함했지만 기본 병합된 보안 설명자에 따라 새 보안 설명자 중 하나 이상의 부분을 작성할 수 있는 명시적 권한이 없습니다. 개체 DN: <created object’s DN> 개체 클래스: <created object’s objectClass> 사용자: <user who attempted the LDAP add> 클라이언트 IP 주소: <the IP of the requestor> |
적용 모드 - LDAP 오류 수정
LDAP 수정 작업이 거부될 때 발생하는 이벤트입니다.
|
이벤트 로그 |
Directory Services |
|
이벤트 형식 |
경고 |
|
이벤트 ID |
3046 |
|
이벤트 텍스트 |
디렉터리 서비스는 다음 개체에 대한 LDAP 수정 요청을 거부했습니다. 클라이언트가 수정 요청에 nTSecurityDescriptor 특성을 포함했지만 개체의 기존 보안 설명자에 따라 새 보안 설명자 중 하나 이상을 작성할 수 있는 명시적 권한이 없습니다. 개체 DN: <created object’s DN> 개체 클래스: <created object’s objectClass> 사용자: <user who attempted the LDAP add> 클라이언트 IP 주소: <the IP of the requestor> |
질문과 대답
Q1 업데이트되지 않은 Active Directory 도메인 컨트롤러가 혼합되어 있는 경우 어떻게 하나요?
대답1 업데이트되지 않은 DC는 이 취약성과 관련된 이벤트를 기록하지 않습니다.
Q2 RODC(도메인 컨트롤러)에 대해 Read-Only 어떻게 해야 하나요?
대답2 아무 것도 없습니다. LDAP 추가 및 수정 작업은 RODC를 대상으로 할 수 없습니다.
Q3 적용 모드를 사용하도록 설정한 후 실패하는 타사 제품 또는 프로세스가 있습니다. 서비스 또는 사용자 도메인 관리자 권한을 부여해야 하나요?
대답3 일반적으로 이 문제에 대한 첫 번째 해결 방법으로 도메인 관리자 그룹에 서비스 또는 사용자를 추가하지 않는 것이 좋습니다. 이벤트 로그를 검사하여 어떤 특정 사용 권한이 필요한지 살펴보고 해당 사용자에 대한 적절한 제한된 권한을 해당 목적으로 지정된 별도의 조직 단위에 위임하는 것이 고려됩니다.
Q4 LDS 서버에 대한 감사 이벤트도 표시됩니다. 이러한 문제가 발생하는 이유는 무엇인가요?
A4 위의 모든 항목은 AD LDS에도 적용되지만, 컴퓨터 개체가 LDS에 있는 것은 매우 드문 일입니다. 감사 모드에서 예기치 않은 권한을 검색하지 못하는 경우 AD LDS에 대한 보호를 사용하도록 설정하기 위해 완화 단계를 수행해야 합니다.
