요약
Microsoft는 CVE-2023-35348에 설명된 대로 Active Directory Federation Services(AD FS)의 토큰 재생 공격 취약성을 해결하기 위한 Windows 업데이트를 릴리스했습니다. 이 업데이트는 2023년 7월 11일 또는 그 이후에 릴리스된 Windows 업데이트에 의해 설치됩니다. 기본적으로 이 업데이트는 사용하지 않도록 설치됩니다. 업데이트를 사용하도록 설정하려면 EnforceNonceInJWT 설정을 구성해야 합니다.
자세한 내용
이 업데이트는 JWT 사용자 인증 중에 JWT(JSON 웹 토큰) 어설션에서 Nonce의 유효성을 검사할 수 있도록 하는 새로운 설정을 도입했습니다.
이 문서에서는 설정을 사용하도록 설정하는 방법을 설명하고 AD FS 서버에 기록된 이벤트의 세부 정보를 설정의 지원되는 값에 대해 제공합니다.
EnforceNonceInJWT 설정
EnforceNonceInJWT 는 ADFS 서버의 관리자가 다음 모드 중 하나로 실행하도록 구성할 수 있습니다.
-
없음 (기본값): EnforceNonceInJWT 설정 값이 변경되었는지 추적하는 데 사용됩니다. 이 값은 관리자가 설정할 수 없습니다. ADFS 서버는 JWT 어설션에 있는 경우에만 nonce의 유효성을 검사하지만 존재하지는 않습니다.
-
비활성화: 이 값은 수정을 사용하지 않도록 설정하기 위해 설정될 수 있습니다. 기본값 또는 게시물 사용과 관련된 문제가 있는 경우 수정을 사용하지 않도록 설정할 수 있습니다.
-
사용: EnforceNonceInJWT 설정을 사용하도록 설정합니다. ADFS 서버는 Nonce 가 JWT 어설션에 있으며 특정 조건이 충족될 때도 유효합니다.
다음 PowerShell 명령을 사용하여 AD FS 서버의 관리자가 EnforceNonceInJWT 모드를 변경할 수 있습니다.
-
EnforceNonceInJWT 사용: Set-AdfsProperties -EnforceNonceInJWT 사용
-
EnforceNonceInJWT 사용 안 함: Set-AdfsProperties -EnforceNonceInJWT 사용 안 함
-
EnforceNonceInJWT 설정
의 상태 확인합니다. 관리자는 Get-AdfsProperties를 실행하여 현재 EnforceNonceInJWT 설정을 검사 수 있습니다. 반환된 EnforceNonceInJWT 값은 구성된 모드와 일치합니다.
기록된 이벤트
다음 이벤트는 2023년 7월 11일 또는 그 이후에 릴리스된 Windows 업데이트가 설치된 후 AD FS 서버에 기록될 수 있습니다.
참고 이벤트 187은 AD FS 서버가 JWT 어설션에 Nonce 를 포함하지 않는 요청을 수신하고 EnforceNonceInJWT 가 None 또는 Disabled로 설정될 때마다 기록됩니다.
소스: AD FS
수준: 경고
ID: 187
메시지: AD FS 서버는 어설션에서 nonce 없이 JWT 토큰을 받았으며 EnforceNonceInJWT의 현재 구성 설정에 따라 수락되었습니다. 그러나 악의적인 클라이언트가 JWT 토큰을 재생할 수 있거나 클라이언트가 최신 Windows 업데이트 패치되지 않을 가능성을 나타냅니다. 최신 Windows 업데이트 클라이언트를 패치한 후 이러한 모든 JWT 토큰을 거부하도록 EnforceNonceInJWT 설정을 업데이트해야 합니다. 이에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2238156 참조하세요.
참고 이벤트 188은 EnforceNonceInJWT 가 None 또는 Disabled로 설정된 경우 모든 AD FS 서비스가 시작될 때마다 기록됩니다.
소스: AD FS
수준: Error
ID: 188
메시지: AD FS 서버는 어설션에 nonce가 없는 JWT 토큰을 거부하도록 구성되지 않았습니다. 모든 클라이언트가 최신 Windows 업데이트 패치되었는지 확인한 후 보안상의 이유로 해당 설정(EnforceNonceInJWT)을 사용하도록 설정해야 합니다. 이벤트 187은 AD FS가 이러한 토큰을 수신하고 현재 EnforceNonceInJWT 설정으로 인해 수락된 인스턴스를 나타냅니다. 이에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2238156 참조하세요.
조치 취하기
팜의 모든 AD FS 서버에 2023년 7월 11일 또는 그 이후에 릴리스된 Windows 업데이트를 설치합니다. 그런 다음 팜의 기본 AD FS 서버에서 다음 PowerShell 명령을 실행하여 설정을 사용하도록 설정합니다.
Set-AdfsProperties -EnforceNonceInJWT 사용
중요 업데이트되지 않은 클라이언트가 있고 JWT 인증 요청을 AD FS 서버로 보내는 경우 특정 시나리오에서 인증 오류가 발생할 수 있습니다. 이러한 경우 2023년 7월 11일 또는 그 이후에 릴리스된 Windows 업데이트를 설치하여 모든 클라이언트를 업데이트하는 것이 좋습니다. 또는 관리자가 EnforceNonceInJWT 설정을 사용하지 않도록 설정하고 이벤트 187 로깅에 대한 AD FS 서버를 모니터링하여 EnforceNonceInJWT 가 사용으로 설정된 경우 거부될 수 있는 잠재적 요청을 식별할 수 있습니다. 정의된 기간 동안 AD FS 서버에 이벤트 187이 없음을 확인한 후 EnforceNonceInJWT 설정을 사용으로 업데이트해야 합니다.