Atnaujinta 2024-03-20 – pridėtos LDS nuorodos
Suvestinė
CVE-2021-42291 išsprendžia saugos apėjimo pažeidžiamumą, kuris leidžia tam tikriems vartotojams nustatyti konkrečių objektų, saugomų "Active Directory" (AD) arba supaprastintosios katalogų tarnybos (LDS) saugos jautriuose atributuose, savavališkas reikšmes. Norint pasinaudoti šiuo pažeidžiamumu, vartotojas turi turėti pakankamai teisių sukurti kompiuterio išvestinį objektą, pvz., vartotojas suteikė CreateChild teises kompiuterio objektams. Šis vartotojas gali sukurti kompiuterio abonementą naudodamas supaprastintosios prieigos prie katalogų protokolą (LDAP) Įtraukti skambutį, leidžiantį per daug prieigą prie securityDescriptor atributo. Be to, sukūrę paskyrą kūrėjai ir savininkai gali modifikuoti saugos atributus. Tai gali būti panaudojama tam tikriems scenarijams siekiant padidinti teises.
PastabaLDS registruos 3050, 3053, 3051 ir 3054 įvykius apie netiesioginės prieigos prie objektų būseną, kaip tai daro AD.
Rizikos mažinimus CVE-2021-42291 sudaro:
-
Papildomas įgaliojimo tikrinimas, kai vartotojai, neturiys domeno arba LDS administratoriaus teisių, bando atlikti kompiuterio išvesto objekto LDAP įtraukimo operaciją. Tai apima audito pagal numatytuosius parametrus režimą, kuris tikrina, kada tokie bandymai įvyksta netrukdant užklausai ir vykdymo režimui, kuris blokuoja tokius bandymus.
-
Laikinas netiesioginio savininko teisių pašalinimas, kai vartotojai be domeno administratoriaus teisių bando atlikti LDAP modifikavimo operaciją securityDescriptor atribute. Įvyksta patvirtinimas, kad būtų patvirtinta, ar vartotojui būtų leidžiama rašyti saugos aprašą be netiesioginio savininko teisių. Tai taip pat apima audito pagal numatytuosius parametrus režimą, kuris tikrina, kada tokie bandymai įvyksta netrukdant užklausai, ir vykdymo režimą, kuris blokuoja tokius bandymus.
Imtis veiksmų
Norėdami apsaugoti aplinką ir išvengti trikčių, atlikite šiuos veiksmus:
-
Atnaujinkite visus įrenginius, kuriuose yra "Active Directory" domeno valdiklis arba "LDS Server" vaidmuo, įdiegę naujausius "Windows" naujinimus. DC, kuriuose yra 2021 m. lapkričio 9 d. arba naujesni naujinimai, turės audito režimo pakeitimus pagal numatytuosius parametrus.
-
Stebėkite katalogų tarnybos arba LDS įvykių žurnalą 3044–3056 įvykiams domeno valdikliuose ir LDS serveriuose, kuriuose yra 2021 m. lapkričio 9 d. arba naujesni "Windows" naujinimai. Registruoti įvykiai rodo, kad vartotojas gali turėti pernelyg daug teisių kurti kompiuterio paskyras su savavališkais saugos atributais. Praneškite apie visus netikėtus scenarijus "Microsoft" naudodami "Premier" arba "Unified Support" atvejį arba atsiliepimų telkinį. (Šių įvykių pavyzdį galima rasti sekcijoje Naujai įtraukti įvykiai.)
-
Jei audito režimas pakankamai ilgai neaptinka jokių netikėtų teisių, įjunkite režimą Vykdymas, kad užtikrintumėte, jog nėra neigiamų rezultatų. Praneškite apie visus netikėtus scenarijus "Microsoft" naudodami "Premier" arba "Unified Support" atvejį arba atsiliepimų telkinį.
"Windows" naujinimų laikas
Šie "Windows" naujinimai bus išleisti dviem etapais:
-
Pradinis diegimas – naujinimo įvadas, įskaitant audito pagal numatytuosius parametrus, vykdymo arba išjungimo režimus, konfigūruojamus naudojant atributą dSHeuristics .
-
Galutinis diegimas – vykdymas pagal numatytuosius parametrus.
2021 m. lapkričio 9 d.: pradinis diegimo etapas
Pradinis diegimo etapas prasideda nuo "Windows" naujinimo, išleisto 2021 m. lapkričio 9 d. Šiame leidime įtraukiamas vartotojų, neturinčių domeno administratoriaus teisių, nustatytų teisių tikrinimas kuriant ar modifikuojant kompiuterį ar kompiuterio išvestus objektus. Taip pat įtraukiamas vykdymo ir išjungimo režimas. Kiekviename "Active Directory" miške galite nustatyti visuotinį režimą naudodami atributą dSHeuristics .
(Atnaujinta 2023-12-15) Galutinio diegimo etapas
Galutinis diegimo etapas gali prasidėti, kai baigsite veiksmus, nurodytus skyriuje Veiksmas. Norėdami pereiti į vykdymo režimą, vykdykite skyriuje Diegimo rekomendacijos pateiktas instrukcijas, kad nustatytumėte 28 ir 29 bitų dSHeuristics atributą. Tada stebėkite 3044–3046 įvykius. Jie praneša, kai vykdymo režimas užblokavo LDAP įtraukimo arba modifikavimo operaciją, kuri anksčiau galėjo būti leidžiama tikrinimo režimu.
Diegimo rekomendacijos
Konfigūracijos informacijos nustatymas
Įdiegus CVE-2021-42291, dSHeuristics atributo 28 ir 29 simboliai valdo naujinimo veikimą. Atributas dSHeuristics yra kiekviename "Active Directory" miške ir apima viso miško parametrus. dSHeuristics atributas yra "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD) arba "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS) objekto atributas. Daugiau informacijos žr. 6.1.1.2.4.1.2 dSHeuristics ir DS-Heuristics atributas .
Character 28 – Additional AuthZ verifications for LDAP Add operations
0: įgalintas audito pagal numatytuosius parametrus režimas. Įvykis užregistruojamas, kai vartotojai, neturintys domeno administratoriaus teisių, nustato "securityDescriptor " ar kitus atributus reikšmėms, kurios gali suteikti pernelyg daug teisių, galimai leidžiančias ateityje naudoti naujus kompiuterio išvestus AD objektus.
1: įgalintas vykdymo režimas. Tai neleidžia vartotojams, neturiiems domeno administratoriaus teisių, nustatyti securityDescriptor ar kitų atributų reikšmėms, kurios gali suteikti pernelyg daug teisių iš kompiuterio išvestuose AD objektuose. Įvykis taip pat užregistruojamas, kai taip nutinka.
2: Išjungia atnaujintą auditą ir neįgalina papildomos saugos. Nerekomenduojama.
Pavyzdys: Jei jūsų miške nebuvo įgalinta kitų dSHeuristics parametrų ir norite įjungti papildomo AuthZ patvirtinimo vykdymo režimą, atributas dSHeuristics turėtų būti nustatytas kaip:
"0000000001000000000200000001"
Šiuo atveju nustatyti tokie simboliai: 10simbolių : turi būti nustatyta į 1, jei dSHeuristics atributas yra bent 10 simbolių 20simbolio : turi būti nustatyta į 2, jei dSHeuristics atributas yra bent 20 simbolių 28-as simbolis: turi būti nustatyta į 1, kad būtų įgalintas papildomos AuthZ patikros vykdymo režimasCharacter 29 – Temporary removal of Implicit Owner for LDAP Modify operations
0: įgalintas audito pagal numatytuosius parametrus režimas. Įvykis užregistruojamas, kai vartotojai, neturintys domeno administratoriaus teisių, nustato securityDescriptor į reikšmes, kurios gali suteikti pernelyg daug teisių, galimai leidžiant ateityje naudoti esamus kompiuterio išvestus AD objektus.
1: įgalintas vykdymo režimas. Tai neleidžia vartotojams, neturintys domeno administratoriaus teisių, nustatyti securityDescriptor reikšmes, kurios gali suteikti pernelyg daug teisių esamiems kompiuterio išvestiniams AD objektams. Įvykis taip pat užregistruojamas, kai taip nutinka.
2:Išjungia atnaujintą auditą ir neįgalina papildomos saugos. Nerekomenduojama.
Pavyzdys: Jei miške turėjote tik nustatytą žymę Papildomos AuthZ patikros dsHeuristics ir norite įjungti laikino numanomos nuosavybės pašalinimo vykdymo režimą, atributas dSHeuristics turėtų būti nustatytas į:
"00000000010000000002000000011"
Šiuo atveju nustatyti tokie simboliai: 10simbolių : turi būti nustatyta į 1, jei dSHeuristics atributas yra bent 10 simbolių 20simbolio : turi būti nustatyta į 2, jei dSHeuristics atributas yra bent 20 simbolių 28-as simbolis: turi būti nustatyta į 1, kad būtų įgalintas papildomos AuthZ patikros vykdymo režimas 29simbolis : turi būti nustatyta į 1, kad įgalintumėte laikino numanomo nuosavybės pašalinimo vykdymo režimąNaujai įtraukti įvykiai
2021 m. lapkričio 9 d. "Windows" naujinimas taip pat įtrauks naujų įvykių žurnalų.
Režimo keitimo įvykiai – papildomas AuthZ patvirtinimas atliekant LDAP įtraukimo operacijas
Įvykiai, kurie įvyksta, kai pakeičiamas dSHeuristics atributo 28 bitas, pakeičiantis LDAP įtraukimo operacijų dalies naujinimo papildomų AuthZ patvirtinimų režimą.
Įvykių žurnalas |
Katalogų tarnybos |
Įvykio tipas |
Informacinio |
Įvykio ID |
3050 |
Įvykio tekstas |
Katalogas sukonfigūruotas įgalinti atributo autorizavimą atliekant LDAP įtraukimo operacijas. Tai saugiausias parametras ir nereikia imtis jokių papildomų veiksmų. |
Įvykių žurnalas |
Katalogų tarnybos |
Įvykio tipas |
Įspėjimas |
Įvykio ID |
3051 |
Įvykio tekstas |
Katalogas sukonfigūruotas, kad nebūtų įgalintas atributo autorizavimas atliekant LDAP įtraukimo operacijas. Įspėjimo įvykiai bus užregistruoti, tačiau nebus blokuojamos jokios užklausos. Šis parametras nėra saugus ir turėtų būti naudojamas tik kaip laikinas trikčių šalinimo veiksmas. Peržiūrėkite siūlomus mažinimus toliau pateiktame saite. |
Įvykių žurnalas |
Katalogų tarnybos |
Įvykio tipas |
Klaida |
Įvykio ID |
3052 |
Įvykio tekstas |
Katalogas sukonfigūruotas, kad nebūtų įgalintas atributo autorizavimas atliekant LDAP įtraukimo operacijas. Nebus užregistruoti jokie įvykiai ir nebus blokuojamos jokios užklausos. Šis parametras nėra saugus ir turėtų būti naudojamas tik kaip laikinas trikčių šalinimo veiksmas. Peržiūrėkite siūlomus mažinimus toliau pateiktame saite. |
Režimo keitimo įvykiai – laikinas netiesioginių savininko teisių pašalinimas
Įvykiai, kurie įvyksta, kai pakeičiamas dSHeuristics atributo bitų 29, pakeičiantis laikino naujinimo netiesioginio savininko teisių dalies pašalinimo režimą.
Įvykių žurnalas |
Katalogų tarnybos |
Įvykio tipas |
Informacinio |
Įvykio ID |
3053 |
Įvykio tekstas |
Katalogas sukonfigūruotas blokuoti numanomas savininko teises pirmą kartą nustatant arba modifikuojant nTSecurityDescriptor atributą atliekant LDAP įtraukimo ir modifikavimo operacijas. Tai saugiausias parametras ir nereikia imtis jokių papildomų veiksmų. |
Įvykių žurnalas |
Katalogų tarnybos |
Įvykio tipas |
Įspėjimas |
Įvykio ID |
3054 |
Įvykio tekstas |
Katalogas sukonfigūruotas suteikti numanomas savininko teises, kai LDAP įtraukimo ir modifikavimo operacijų metu pirmą kartą nustatomas arba modifikuojamas nTSecurityDescriptor atributas. Įspėjimo įvykiai bus užregistruoti, tačiau nebus blokuojamos jokios užklausos. Šis parametras nėra saugus ir turėtų būti naudojamas tik kaip laikinas trikčių šalinimo veiksmas. |
Įvykių žurnalas |
Katalogų tarnybos |
Įvykio tipas |
Klaida |
Įvykio ID |
3055 |
Įvykio tekstas |
Katalogas sukonfigūruotas suteikti numanomas savininko teises, kai LDAP įtraukimo ir modifikavimo operacijų metu pirmą kartą nustatomas arba modifikuojamas nTSecurityDescriptor atributas. Nebus užregistruoti jokie įvykiai ir nebus blokuojamos jokios užklausos. Šis parametras nėra saugus ir turėtų būti naudojamas tik kaip laikinas trikčių šalinimo veiksmas. |
Audito režimo įvykiai
Įvykiai, įvykstantys audito režimu, norint registruoti galimas saugos problemas naudojant LDAP įtraukimo arba modifikavimo operaciją.
Įvykių žurnalas |
Katalogų tarnybos |
Įvykio tipas |
Įspėjimas |
Įvykio ID |
3047 |
Įvykio tekstas |
Katalogų tarnyba aptiko LDAP įtraukimo užklausą šiam objektui, kuris paprastai būtų užblokuotas dėl šių saugos priežasčių. Klientas neturėjo teisės rašyti vieno ar daugiau atributų, įtrauktų į įtraukimo užklausą, pagal numatytąjį sulietą saugos aprašą. Užklausa buvo leidžiama tęsti, nes katalogas šiuo metu sukonfigūruotas veikti tik audito režimu šiai saugos patikrai. Objekto DN: <sukurto objekto DN> Objekto klasė: <sukurtas objekto objectClass> Vartotojas: <vartotojas, kuris bandė įtraukti LDAP> Kliento IP adresas: <prašančiojo IP> Saugos mažėjimo tvarka: <SD, kurį bandėte> |
Įvykių žurnalas |
Katalogų tarnybos |
Įvykio tipas |
Įspėjimas |
Įvykio ID |
3048 |
Įvykio tekstas |
Katalogų tarnyba aptiko LDAP įtraukimo užklausą šiam objektui, kuris paprastai būtų užblokuotas dėl šių saugos priežasčių. Klientas į įtraukimo užklausą įtraukė nTSecurityDescriptor atributą, bet neturėjo aiškaus leidimo rašyti vieną ar daugiau naujo saugos aprašo dalių, atsižvelgiant į numatytąjį sulietą saugos aprašą. Užklausa buvo leidžiama tęsti, nes katalogas šiuo metu sukonfigūruotas veikti tik audito režimu šiai saugos patikrai. Objekto DN: <sukurto objekto DN> Objekto klasė: <sukurtas objekto objectClass> Vartotojas: <vartotojas, kuris bandė įtraukti LDAP> Kliento IP adresas: <prašančiojo IP> |
Įvykių žurnalas |
Katalogų tarnybos |
Įvykio tipas |
Įspėjimas |
Įvykio ID |
3049 |
Įvykio tekstas |
Katalogų tarnyba aptiko LDAP modifikavimo užklausą šiam objektui, kuris paprastai būtų užblokuotas dėl šių saugos priežasčių. Klientas į įtraukimo užklausą įtraukė nTSecurityDescriptor atributą, bet neturėjo aiškaus leidimo rašyti vieną ar daugiau naujo saugos aprašo dalių, atsižvelgiant į numatytąjį sulietą saugos aprašą. Užklausa buvo leidžiama tęsti, nes katalogas šiuo metu sukonfigūruotas veikti tik audito režimu šiai saugos patikrai. Objekto DN: <sukurto objekto DN> Objekto klasė: <sukurtas objekto objectClass> Vartotojas: <vartotojas, kuris bandė įtraukti LDAP> Kliento IP adresas: <prašančiojo IP> |
Įvykių žurnalas |
Katalogų tarnybos |
Įvykio tipas |
Įspėjimas |
Įvykio ID |
3056 |
Įvykio tekstas |
Katalogų tarnyba apdorojo toliau nurodyto objekto atributo sdRightsEffective užklausą. Grąžintas prieigos šablonas buvo WRITE_DAC, bet tik todėl, kad katalogas sukonfigūruotas leisti numanomas savininko teises, kurios nėra saugus parametras. Objekto DN: <sukurto objekto DN> Vartotojas: <vartotojas, kuris bandė įtraukti LDAP> Kliento IP adresas: <prašančiojo IP> |
Vykdymo režimas – LDAP įtraukimo triktys
Įvykiai, kurie įvyksta, kai LDAP įtraukimo operacija atmetama.
Įvykių žurnalas |
Katalogų tarnybos |
Įvykio tipas |
Įspėjimas |
Įvykio ID |
3044 |
Įvykio tekstas |
Katalogų tarnyba atmetė LDAP įtraukimo užklausą šiam objektui. Užklausa atmesta, nes klientas neturėjo teisės rašyti vieno ar daugiau atributų, įtrauktų į įtraukimo užklausą, pagal numatytąjį sulietą saugos aprašą. Objekto DN: <sukurto objekto DN> Objekto klasė: <sukurtas objekto objectClass> Vartotojas: <vartotojas, kuris bandė įtraukti LDAP> Kliento IP adresas: <prašančiojo IP> Saugos mažėjimo tvarka: <SD, kurį bandėte> |
Įvykių žurnalas |
Katalogų tarnybos |
Įvykio tipas |
Įspėjimas |
Įvykio ID |
3045 |
Įvykio tekstas |
Katalogų tarnyba atmetė LDAP įtraukimo užklausą šiam objektui. Užklausa atmesta, nes klientas į įtraukimo užklausą įtraukė nTSecurityDescriptor atributą, bet neturėjo aiškaus leidimo rašyti vieną ar daugiau naujo saugos aprašo dalių, atsižvelgiant į numatytąjį sulietą saugos aprašą. Objekto DN: <sukurto objekto DN> Objekto klasė: <sukurtas objekto objectClass> Vartotojas: <vartotojas, kuris bandė įtraukti LDAP> Kliento IP adresas: <prašančiojo IP> |
Vykdymo režimas – LDAP modifikavimo klaidos
Įvykiai, kurie įvyksta, kai LDAP modifikavimo operacija uždrausta.
Įvykių žurnalas |
Katalogų tarnybos |
Įvykio tipas |
Įspėjimas |
Įvykio ID |
3046 |
Įvykio tekstas |
Katalogų tarnyba atmetė LDAP modifikavimo užklausą šiam objektui. Užklausa atmesta, nes klientas į modifikavimo užklausą įtraukė nTSecurityDescriptor atributą, bet neturėjo aiškaus leidimo rašyti vieną ar daugiau naujo saugos aprašo dalių, atsižvelgiant į esamą objekto saugos aprašą. Objekto DN: <sukurto objekto DN> Objekto klasė: <sukurtas objekto objectClass> Vartotojas: <vartotojas, kuris bandė įtraukti LDAP> Kliento IP adresas: <prašančiojo IP> |
Dažnai užduodami klausimai
1 k. Kas nutiks, jei turiu atnaujintų ir neatnaujintų "Active Directory" domeno valdiklių mišinį?
A1 Neatnaujintų DC neregistruos įvykių, susijusių su šiuo pažeidžiamumu.
2 k. Ką daryti su Read-Only domeno valdikliais (RODCs)?
A2 Nieko; LDAP įtraukimo ir modifikavimo operacijos negali būti skirtos RODCs.
Q3 turiu trečiosios šalies produktą arba procesą, kuris nepavyksta po įgalinimo vykdymo režimo. Ar turiu suteikti tarnybos ar vartotojo domeno administratoriaus teises?
A3 Paprastai nerekomenduojame įtraukti tarnybos ar vartotojo į domenų administratorių grupę kaip pirmąjį šios problemos sprendimą. Ištirkite įvykių žurnalus, kad sužinotumėte, kokios konkrečios teisės yra būtinos, ir apsvarstykite galimybę perduoti tam vartotojui reikiamas ribotas teises atskirame tam skirtame organizacijos vienete.
K4 Matau audito įvykius taip pat LDS serveriams. Kodėl taip vyksta?
A4Visi pirmiau taip pat taikomi AD LDS, nors tai yra labai neįprasta turėti kompiuterinius objektus LDS. Taip pat turėtų būti imtasi mažinimo veiksmų, kad įgalintumėte AD LDS apsaugą, kai audito režimas neaptinka jokių netikėtų teisių.