Kopsavilkums

CVE-2021-42291 pievēršas drošības apiešanas ievainojamībai, kas ļauj noteiktiem lietotājiem iestatīt patvaļīgas vērtības konkrētu pakalpojumā Active Directory (AD) glabātu objektu drošības sensitīvajiem atribūtiem. Lai izmantotu šo ievainojamību, lietotājam ir nepieciešamas pietiekamas privilēģijas, lai izveidotu datora kontu, piemēram, lietotājam piešķirtas atļaujas CreateChild datorobjektiem. Šis lietotājs var izveidot datora kontu, izmantojot direktoriju vieglpiekļuves protokolu (LDAP) Pievienot zvanu, kas sniedz pārāk ērtu piekļuvi atribūtam securityDescriptor. Turklāt veidotāji un īpašnieki pēc konta izveides var modificēt ar drošību reģistrjutīgus atribūtus.

Jūs varat izmantot riskus CVE-2021-42291.

  1. Papildu autorizācijas pārbaude, kad lietotāji bez domēna administratora tiesībām mēģina veikt LDAP pievienošanas darbību atvasinātam objektam ar datoru. Tas ietver auditēšanas pēc noklusējuma režīmu, kas veic auditēšanu, ja šādi mēģinājumi rodas, neietekmējot pieprasījumu, un ieviešanas režīmu, kas bloķē šādus mēģinājumus.

  2. Pagaidu atļaujas Netiešais īpašnieks noņemšana, kad lietotāji bez domēna administratora tiesībām mēģina veikt LDAP modificēšanas darbību atribūtam securityDescriptor. Tiek veikta pārbaude, lai pārliecinātos, vai lietotājam būtu atļauts rakstīt drošības deskriptoru bez netiešas īpašnieka privilēģijas. Tas ietver arī auditēšanas pēc noklusējuma režīmu, kas veic auditēšanu, ja šādi mēģinājumi rodas, neietekmējot pieprasījumu, un ieviešanas režīmu, kas bloķē šādus mēģinājumus.

Rīcība

Lai aizsargātu vidi un izvairītos no darbības pārtraukumiem, veiciet tālāk norādītās darbības.

  1. Atjauniniet visas ierīces, kas vieso Active Directory domēna kontrollera lomu, instalējot 2021. gada 9. novembra atjauninājumu. Tādējādi izmaiņas tiks veiktas audita režīmā pēc noklusējuma.

  2. Direktorija pakalpojuma notikumu žurnāla pārraudzība 3044–3056 notikumiem domēna kontrolleros, kuru 2021. gada 9. novembris vai jaunāka versija ir izlaisti Windows atjauninājumi pirms programmatiskās ieviešanas režīma. Reģistrētie notikumi norāda, ka lietotājam var būt pārmērīgas privilēģijas, lai izveidotu datora kontus ar patvaļīgiem drošības jutīgiem atribūtiem. Ziņojiet korporācijai Microsoft par neparedzētiem scenārijiem, izmantojot Premier vai Vienotais atbalsts gadījumu vai atsauksmju centrmezglu. (Šo notikumu piemērs ir atrodams sadaļā Tikko pievienotie notikumi.)

  3. Ja audita režīms noteiktu neparedzētas privilēģijas pietiekami ilgi, pārslēdzieties uz ieviešanas režīmu, lai nodrošinātu, ka netiek iegūti negatīvi rezultāti. Ziņojiet korporācijai Microsoft par neparedzētiem scenārijiem, izmantojot Premier vai Vienotais atbalsts gadījumu vai atsauksmju centrmezglu.

    Svarīgi Ieviešanas režīms pēc noklusējuma tiks ieslēgts gaidāmajā atjauninājumā, 2022. gada 12. aprīlī.

Atjauninājumu Windows hronometrāža

Šie Windows atjauninājumi tiks izlaisti divos posmos:

  1. Sākotnējā izvietošana — atjauninājuma ievads, tostarp auditēšana pēc noklusējuma, ieviešana vai režīmu atspējošana, izmantojot atribūtu dSHeuristics.

  2. Galīgā izvietošana — ieviešana pēc noklusējuma un atspējošanas režīma noņemšana.

    Svarīgi Ieviešanas režīms pēc noklusējuma tiks ieslēgts gaidāmajā atjauninājumā, 2022. gada 12. aprīlī.

2021. gada 9. novembris. Sākotnējā izvietošanas fāze

Sākotnējais izvietošanas posms sākas ar pēdējo Windows 2021. gada 9. novembrī. Šajā laidienā tiek pievienota lietotāju bez domēna administratora tiesībām iestatīto atļauju auditēšana, izveidojot vai modificējot datoru vai datoru atvasinātus objektus. Tā pievieno arī ieviešanas un atspējošanas režīmu. Varat iestatīt režīmu globāli katram Active Directory mežam, izmantojot atribūtu dSHeuristics.

2022. gada 12. aprīlis: beigu izvietošanas posms

Pēdējais izvietošanas posms sākas ar jaunu Windows izlaists 2022. gada 12. aprīlī (jānosaka). Šis posms mainīs noklusējuma režīmu uz Ieviešanas režīms un noņems atspējošanas režīmu.

Piezīme. Šajā atjauninājumā tiek pieņemts, ka visi domēnu kontrolleri tiek atjaunināti ar 2021. gada 9. novembra vai jaunāku versiju.

Izvietošanas norādījumi

Konfigurācijas informācijas iestatīšana

Pēc CVE-2021-42291 instalēšanas atribūta dSHeuristics rakstzīmes 28 un 29 kontrolē atjauninājuma darbību. Atribūts dSHeuristics pastāv katrā Active Directory mežā, un tajā ir iestatījumi visam mežam. Atribūts dSHeuristics ir objekta "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" atribūts. Papildinformāciju skatiet 6.1.1.2.4.1.2 dSHeuristics un DS-Heuristics.

28. rakstzīme — papildu autentifikācijas LDAP pievienošanas darbības

0. Auditēt pēc noklusējuma režīms ir iespējots. Notikums tiek reģistrēts, ja lietotāji bez domēna administratora tiesībām iestata securityDescriptor vai citus atribūtus vērtībām, kas var piešķirt pārmērīgas atļaujas, potenciāli ļaujot turpmāk izmantot jaunos datorizētos AD objektos.

1. Ieviešanas režīms ir iespējots. Tas neļauj lietotājiem bez domēna administratora tiesībām iestatīt securityDescriptor vai citus atribūtus vērtībām, kas var piešķirt pārmērīgas atļaujas no datora atvasinātiem AD objektiem. Notikums tiek reģistrēts arī tad, kad tas notiek.

 2. Atspējo atjaunināto auditēšanu un neievieš pievienoto drošību. Nav ieteicams.

Piemērs: Ja jūsu mežā nav iespējoti citi dSHeuristics iestatījumi un vēlaties pārslēgties uz ieviešanas režīmu papildu AuthZ pārbaudei, atribūtam dSHeuristics ir jābūt iestatītam kā:

"000000000100000000020000001"

Šajā gadījumā iestatītās rakstzīmes ir:
10.rakstz : ir jāiestata uz 1, ja atribūts dSHeuristics ir vismaz 10 rakstzīmes
20rakstz: jāiestata vērtība 2, ja atribūts dSHeuristics ir vismaz 20 rakstzīmes
28.rakstzīme: jābūt iestatītam uz 1, lai iespējotu ieviešanas režīmu papildu autentifikācijas pārbaudei

29. rakstzīme — LDAP modificēšanas darbību netieša īpašnieka pagaidu noņemšana

0. Auditēt pēc noklusējuma režīms ir iespējots. Notikums tiek reģistrēts, ja lietotāji bez domēna administratora tiesībām iestata securityDescriptor vērtībām, kas var piešķirt pārmērīgas atļaujas, potenciāli ļaujot turpmāk izmantot esošos datoros atvasinātos AD objektus.

1. Ieviešanas režīms ir iespējots. Tādējādi lietotāji bez domēna administratora tiesībām nevar iestatīt securityDescriptor vērtībām, kas var piešķirt pārmērīgas atļaujas esošiem datorizētiem AD objektiem. Notikums tiek reģistrēts arī tad, kad tas notiek.

2. Atspējo atjaunināto auditēšanu un neievieš pievienoto drošību. Nav ieteicams.

Piemērs: Ja jūsu mežā bija iestatītas papildu AuthZ pārbaudes dsHeuristics karodziņš un vēlaties pārslēgties uz ieviešanas režīmu pagaidu netiešajam īpašumtiesību noņemšanai, atribūtam dSHeuristics jābūt iestatītam kā:

"0000000001000000000200000011"

Šajā gadījumā iestatītās rakstzīmes ir:
10.rakstība: ja atribūts dSHeuristics ir vismaz 10 rakstzīmes, tam ir jābūt iestatītam uz 1.
20rakstz: jāiestata vērtība 2, ja atribūts dSHeuristics ir vismaz 20 rakstzīmes
28.rakstzīme: jābūt iestatītam uz 1, lai iespējotu ieviešanas režīmu papildu autentifikācijas pārbaudei
29.rakstība: jāiestata uz 1, lai iespējotu ieviešanas režīmu pagaidu netiešajam īpašumtiesību noņemšanai

Tikko pievienoti notikumi

2021. gada 9. Windows atjauninājums pievienos arī jaunus notikumu žurnālus.

Režīma maiņas notikumi — papildu AuthZ pārbaude LDAP pievienošanas darbībām

Notikumi, kas notiek, kad tiek mainīts atribūta dSHeuristics 28. bits, kas maina papildu AuthZ verifikācijas režīmu LDAP darbību daļai atjauninājumā.

Notikumu žurnāls

Direktorija pakalpojumi

Notikuma tips

Informaīvs

Notikuma ID

3050

Notikuma teksts

Direktorijs ir konfigurēts tā, lai LDAP pievienošanas darbību laikā ieviestu atļaujas katram atribūtam.

Šis ir visd drošais iestatījums un nekādas turpmākas darbības nav jāveic.

Notikumu žurnāls

Direktorija pakalpojumi

Notikuma tips

Brīdinājums

Notikuma ID

3051

Notikuma teksts

Direktorijs ir konfigurēts tā, lai LDAP pievienošanas darbību laikā nav spēkā autorizācija katram atribūtam. Brīdinājuma notikumi tiks reģistrēti, bet pieprasījumi netiks bloķēti.

Šis iestatījums nav drošs, un to var izmantot tikai kā pagaidu problēmu novēršanas darbību. Lūdzu, skatiet piedāvātos risku mazināšanas pasākumus tālāk redzamajā saiti.

Notikumu žurnāls

Direktorija pakalpojumi

Notikuma tips

Kļūda

Notikuma ID

3052

Notikuma teksts

Direktorijs ir konfigurēts tā, lai LDAP pievienošanas darbību laikā nav spēkā autorizācija katram atribūtam. Notikumi netiks reģistrēti un pieprasījumi netiks bloķēti.

Šis iestatījums nav drošs, un to var izmantot tikai kā pagaidu problēmu novēršanas darbību. Lūdzu, skatiet piedāvātos risku mazināšanas pasākumus tālāk redzamajā saiti.

Režīma izmaiņu notikumi — netieša īpašnieka tiesību pagaidu noņemšana

Notikumi, kas notiek, ja tiek mainīts atribūta dSHeuristics 29. bits, kas maina atjauninājuma implicītiskā īpašnieka tiesību daļas pagaidu noņemšanas režīmu.

Notikumu žurnāls

Direktorija pakalpojumi

Notikuma tips

Informaīvs

Notikuma ID

3053

Notikuma teksts

Direktorijs ir konfigurēts, lai bloķētu netiešas īpašnieka privilēģijas, sākotnēji iestatot vai modificējot atribūtu nTSecurityDescriptor LDAP pievienošanas un modificēšanas darbību laikā.

Šis ir visd drošais iestatījums un nekādas turpmākas darbības nav jāveic.

Notikumu žurnāls

Direktorija pakalpojumi

Notikuma tips

Brīdinājums

Notikuma ID

3054

Notikuma teksts

Direktorijs ir konfigurēts, lai atļautu netiešas īpašnieka privilēģijas, sākotnēji iestatot vai modificējot atribūtu nTSecurityDescriptor LDAP pievienošanas un modificēšanas darbību laikā. Brīdinājuma notikumi tiks reģistrēti, bet pieprasījumi netiks bloķēti.

Šis iestatījums nav drošs, un to var izmantot tikai kā pagaidu problēmu novēršanas darbību. 

Notikumu žurnāls

Direktorija pakalpojumi

Notikuma tips

Kļūda

Notikuma ID

3055

Notikuma teksts

Direktorijs ir konfigurēts, lai atļautu netiešas īpašnieka privilēģijas, sākotnēji iestatot vai modificējot atribūtu nTSecurityDescriptor LDAP pievienošanas un modificēšanas darbību laikā. Notikumi netiks reģistrēti un pieprasījumi netiks bloķēti.

Šis iestatījums nav drošs, un to var izmantot tikai kā pagaidu problēmu novēršanas darbību. 

Audita režīma notikumi

Notikumi, kas notiek audita režīmā, lai reģistrēt iespējamās drošības problēmas ar LDAP pievienošanas vai modificēšanas darbību.

Notikumu žurnāls

Direktorija pakalpojumi

Notikuma tips

Brīdinājums

Notikuma ID

3047

Notikuma teksts

Direktorija pakalpojums konstatēja LDAP pievienošanas pieprasījumu tālāk redzamam objektam, kas parasti būtu bloķēts šādu drošības iemeslu dēļ.

Klientam nav atļaujas rakstīt vienu vai vairākus atribūtus, kas iekļauti pievienošanas pieprasījumā, pamatojoties uz noklusējuma sapludināto drošības vērtību.

Pieprasījums tika atļauts turpināt, jo direktorijs pašlaik ir konfigurēts tikai audita režīmā šai drošības pārbaudei.

Objekta DN: <objekta DN ar nosaukumu>

Objektu klase: <objekta objekta> klase

Lietotājs: <lietotājs, kurš mēģināja izmantot LDAP,>

Klienta IP adrese: <pieprasītāja IP adreses>

Drošības desk: <sd, kas tika>

Notikumu žurnāls

Direktorija pakalpojumi

Notikuma tips

Brīdinājums

Notikuma ID

3048

Notikuma teksts

Direktorija pakalpojums konstatēja LDAP pievienošanas pieprasījumu tālāk redzamam objektam, kas parasti būtu bloķēts šādu drošības iemeslu dēļ.

Klients pieprasījumā iekļāva atribūtu nTSecurityDescriptor, taču nav tiešas atļaujas rakstīt vienu vai vairākas jaunās drošības deskriptora daļas, pamatojoties uz noklusējuma sapludināto drošības vienums.

Pieprasījums tika atļauts turpināt, jo direktorijs pašlaik ir konfigurēts tikai audita režīmā šai drošības pārbaudei.

Objekta DN: <objekta DN ar nosaukumu>

Objektu klase: <objekta objekta> klase

Lietotājs: <lietotājs, kurš mēģināja izmantot LDAP,>

Klienta IP adrese: <pieprasītāja IP adreses>

Notikumu žurnāls

Direktorija pakalpojumi

Notikuma tips

Brīdinājums

Notikuma ID

3049

Notikuma teksts

Direktorija pakalpojums konstatēja LDAP modificēšanas pieprasījumu tālāk redzamam objektam, kas parasti būtu bloķēts šādu drošības iemeslu dēļ.

Klients pieprasījumā iekļāva atribūtu nTSecurityDescriptor, taču nav tiešas atļaujas rakstīt vienu vai vairākas jaunās drošības deskriptora daļas, pamatojoties uz noklusējuma sapludināto drošības vienums.

Pieprasījums tika atļauts turpināt, jo direktorijs pašlaik ir konfigurēts tikai audita režīmā šai drošības pārbaudei.

Objekta DN: <objekta DN ar nosaukumu>

Objektu klase: <objekta objekta> klase

Lietotājs: <lietotājs, kurš mēģināja izmantot LDAP,>

Klienta IP adrese: <pieprasītāja IP adreses>

Notikumu žurnāls

Direktorija pakalpojumi

Notikuma tips

Brīdinājums

Notikuma ID

3056

Notikuma teksts

Direktorija pakalpojums apstrādāja vaicājumu atribūtam sdRightsEffective tālāk norādītajā objektā. Atgrieztā piekļuves maska bija WRITE_DAC, bet tikai tāpēc, ka direktorijs ir konfigurēts, lai atļautu netiešas īpašnieka privilēģijas, kas nav drošs iestatījums.

Objekta DN: <objekta DN ar nosaukumu>

Lietotājs: <lietotājs, kurš mēģināja izmantot LDAP,>

Klienta IP adrese: <pieprasītāja IP adreses>

Ieviešanas režīms — LDAP pievienošanas kļūmes

Notikumi, kas notiek, ja LDAP pievienošanas darbība ir liegta.

Notikumu žurnāls

Direktorija pakalpojumi

Notikuma tips

Brīdinājums

Notikuma ID

3044

Notikuma teksts

Direktorija pakalpojums liedza LDAP pievienošanas pieprasījumu tālāk redzamam objektam. Pieprasījums tika noraidīts, jo klientam nav atļaujas rakstīt vienu vai vairākus atribūtus, kas iekļauti pievienošanas pieprasījumā, pamatojoties uz noklusējuma sapludināto drošības vērtību.

Objekta DN: <objekta DN ar nosaukumu>

Objektu klase: <objekta objekta> klase

Lietotājs: <lietotājs, kurš mēģināja izmantot LDAP,>

Klienta IP adrese: <pieprasītāja IP adreses>

Drošības desk: <sd, kas tika>

Notikumu žurnāls

Direktorija pakalpojumi

Notikuma tips

Brīdinājums

Notikuma ID

3045

Notikuma teksts

Direktorija pakalpojums liedza LDAP pievienošanas pieprasījumu tālāk redzamam objektam. Pieprasījums tika noraidīts, jo klientam pievienošanas pieprasījumā bija iekļauts atribūts nTSecurityDescriptor, taču tam nav tiešas atļaujas rakstīt vienu vai vairākas jaunās drošības deskriptora daļas, pamatojoties uz noklusējuma sapludināto drošības aprakstu.

Objekta DN: <objekta DN ar nosaukumu>

Objektu klase: <objekta objekta> klase

Lietotājs: <lietotājs, kurš mēģināja izmantot LDAP,>

Klienta IP adrese: <pieprasītāja IP adreses>

Ieviešanas režīms — LDAP modificēšanas kļūmes

Notikumi, kas notiek, ja LDAP modificēšanas darbība ir liegta.

Notikumu žurnāls

Direktorija pakalpojumi

Notikuma tips

Brīdinājums

Notikuma ID

3046

Notikuma teksts

Direktorija pakalpojums liedza LDAP modificēšanas pieprasījumu tālāk redzamam objektam. Pieprasījums tika noraidīts, jo klientam bija iekļauts atribūts nTSecurityDescriptor modificēšanas pieprasījumā, taču tam nav tiešas atļaujas rakstīt vienu vai vairākas jaunās drošības deskriptora daļas, pamatojoties uz objekta esošo drošības gadījumu.

Objekta DN: <objekta DN ar nosaukumu>

Objektu klase: <objekta objekta> klase

Lietotājs: <lietotājs, kurš mēģināja izmantot LDAP,>

Klienta IP adrese: <pieprasītāja IP adreses>

bieži uzdotie jautājumi

1. jautājums Kas notiek, ja man ir sajaucti Active Directory domēnu kontrolleri, kas ir atjaunināti un nav atjaunināti?

A1 DC, kas nav atjaunināti, ne reģistrēt notikumus, kas saistīti ar šo ievainojamību.

2. Kā rīkoties, lai piekļūtu Read-Only kontrolleriem (RODC)?

A2 Nekas; LDAP pievienošanas un modificēšanas operācijas nevar mērķa RODC.

Q3 man ir trešās puses produkts vai process, kas neizdodas pēc ieviešanas režīma iespējošanas. Vai man ir jāpiešķir pakalpojuma vai lietotāja domēna administratora tiesības?

A3 Parasti nav ieteicams pievienot pakalpojumu vai lietotāju domēnu administratoru grupai kā pirmo šīs problēmas risinājumu. Pārbaudiet notikumu žurnālus, lai uzzinātu, kādas konkrētas atļaujas ir nepieciešamas, un apsveriet iespēju deleģēt šim lietotājam atbilstošās ierobežotās tiesības atsevišķā organizācijā, kas norādīta šim nolūkam.

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar tulkojuma kvalitāti?
Kas ietekmēja jūsu pieredzi?

Paldies par jūsu atsauksmēm!

×