Atjaunināts 03.03.2024. — pievienotas LDS atsauces
Kopsavilkums
CVE-2021-42291 pievēršas drošības apiešanas ievainojamībai, kas ļauj noteiktiem lietotājiem iestatīt patvaļīgas vērtības ar drošības jutīgiem atribūtiem konkrētiem objektiem, kas tiek glabāti pakalpojumā Active Directory (AD) vai direktoriju vieglpieetā (LDS). Lai izmantotu šo ievainojamību, lietotājam ir nepieciešamas pietiekamas privilēģijas, lai izveidotu objektu, kas atvasināts no datora, piemēram, lietotājam ir piešķirtas atļaujas CreateChild datorobjektiem. Šis lietotājs var izveidot datora kontu, izmantojot direktoriju vieglpiekļuves protokolu (LDAP) Pievienot zvanu, kas sniedz pārāk ērtu piekļuvi atribūtam securityDescriptor . Turklāt veidotāji un īpašnieki pēc konta izveides var modificēt ar drošību reģistrjutīgus atribūtus. To var izmantot, lai noteiktos scenārijos veiktu privilēģiju pacēlumu.
PiezīmeLDS reģistrēs notikumus 3050, 3053, 3051 un 3054 par netiešās piekļuves objektiem statusu tāpat kā AD.
Jūs varat izmantot riskus CVE-2021-42291.
-
Papildu autorizācijas pārbaude, kad lietotāji bez domēna vai LDS administratora tiesībām mēģina veikt LDAP pievienošanas darbību datoram atvasinātam objektam. Tas ietver auditēšanas pēc noklusējuma režīmu, kas veic auditēšanu, ja šādi mēģinājumi rodas, neietekmējot pieprasījumu, un ieviešanas režīmu, kas bloķē šādus mēģinājumus.
-
Pagaidu atļaujas Netiešais īpašnieks noņemšana, kad lietotāji bez domēna administratora tiesībām mēģina veikt LDAP modificēšanas darbību atribūtam securityDescriptor . Tiek veikta pārbaude, lai pārliecinātos, vai lietotājam būtu atļauts rakstīt drošības deskriptoru bez netiešas īpašnieka privilēģijas. Tas ietver arī auditēšanas pēc noklusējuma režīmu, kas veic auditēšanu, ja šādi mēģinājumi rodas, neietekmējot pieprasījumu, un ieviešanas režīmu, kas bloķē šādus mēģinājumus.
Rīcība
Lai aizsargātu vidi un izvairītos no darbības pārtraukumiem, veiciet tālāk norādītās darbības.
-
Atjauniniet visas ierīces, kas vieso Active Directory domēna kontrolleri vai LDS Server lomu, instalējot jaunākos Windows atjauninājumus. Datoriem, kuriem ir 2021. gada 9. novembra vai jaunākas versijas atjauninājumi, pēc noklusējuma būs izmaiņas audita režīmā.
-
Direktorija pakalpojuma vai LDS notikumu žurnāla pārraudzība 3044–3056 notikumiem domēnu kontrolleros un LDS serveros, kuru Windows atjauninājumi ir 2021. gada 9. novembrī vai jaunāka versija. Reģistrētie notikumi norāda, ka lietotājam var būt pārmērīgas privilēģijas, lai izveidotu datora kontus ar patvaļīgiem drošības jutīgiem atribūtiem. Ziņojiet korporācijai Microsoft par neparedzētiem scenārijiem, izmantojot Premier vai vienotā atbalsta gadījumu vai atsauksmju centrmezglu. (Šo notikumu piemērs ir atrodams sadaļā Tikko pievienotie notikumi.)
-
Ja audita režīms noteiktu neparedzētas privilēģijas pietiekami ilgi, pārslēdzieties uz ieviešanas režīmu, lai nodrošinātu, ka netiek iegūti negatīvi rezultāti. Ziņojiet korporācijai Microsoft par neparedzētiem scenārijiem, izmantojot Premier vai vienotā atbalsta gadījumu vai atsauksmju centrmezglu.
Windows atjauninājumu hronometrāža
Šie Windows atjauninājumi tiks izlaisti divās fāzēs:
-
Sākotnējā izvietošana — atjauninājuma ievads, tostarp auditēšana pēc noklusējuma, ieviešana vai režīmu atspējošana, izmantojot atribūtu dSHeuristics .
-
Galīgā izvietošana — ieviešanas pēc noklusējuma.
2021. gada 9. novembris. Sākotnējā izvietošanas fāze
Sākotnējais izvietošanas posms sākas ar Windows atjauninājumu, kas izlaists 2021. gada 9. novembrī. Šajā laidienā tiek pievienota lietotāju bez domēna administratora tiesībām iestatīto atļauju auditēšana, izveidojot vai modificējot datoru vai datoru atvasinātus objektus. Tā pievieno arī ieviešanas un atspējošanas režīmu. Varat iestatīt režīmu globāli katram Active Directory mežam, izmantojot atribūtu dSHeuristics .
(Atjaunināts 15.12.2023.) Beigu izvietošanas posms
Pēdējais izvietošanas posms var sākties, kad esat pabeidzis darbības, kas norādītas sadaļā Veikt darbību. Lai pārietu uz ieviešanas režīmu, izpildiet norādījumus sadaļā Izvietošanas norādījumi, lai iestatītu 28. un 29. bitu vērtību atribūtam dSHeuristics . Pēc tam pārraugiet, vai nav notikumu 3044–3046. Tie ziņo, ja ieviešanas režīms ir bloķējis LDAP pievienošanas vai modificēšanas darbību, kas, iespējams, iepriekš bija atļauta audita režīmā.
Izvietošanas norādījumi
Konfigurācijas informācijas iestatīšana
Pēc CVE-2021-42291 instalēšanas atribūta dSHeuristics rakstzīmes 28 un 29 kontrolē atjauninājuma darbību. Atribūts dSHeuristics pastāv katrā Active Directory mežā, un tajā ir iestatījumi visam mežam. Atribūts dSHeuristics ir atribūts "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD ) vai "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS) objekts. Papildinformāciju skatiet 6.1.1.2.4.1.2 dSHeuristics un DS-Heuristics.
28. rakstzīme — papildu autentifikācijas LDAP pievienošanas darbības
0. Auditēt pēc noklusējuma režīms ir iespējots. Notikums tiek reģistrēts, ja lietotāji bez domēna administratora tiesībām iestata securityDescriptor vai citus atribūtus vērtībām, kas var piešķirt pārmērīgas atļaujas, potenciāli ļaujot turpmāk izmantot jaunos datorizētos AD objektos.
1. Ieviešanas režīms ir iespējots. Tas neļauj lietotājiem bez domēna administratora tiesībām iestatīt securityDescriptor vai citus atribūtus vērtībām, kas var piešķirt pārmērīgas atļaujas no datora atvasinātiem AD objektiem. Notikums tiek reģistrēts arī tad, kad tas notiek.
2: Atspējo atjaunināto auditēšanu un neievieš pievienoto drošību. Nav ieteicams.
Piemērs: Ja jūsu mežā nav iespējoti citi dSHeuristics iestatījumi un vēlaties pārslēgties uz ieviešanas režīmu papildu AuthZ pārbaudei, atribūtam dSHeuristics ir jābūt iestatītam kā:
"0000000001000000000200000001"
Šajā gadījumā iestatītās rakstzīmes ir:
10. rakstz : ir jāiestata uz 1, ja atribūts dSHeuristics ir vismaz 10 rakstzīmes
20rakstz : jāiestata vērtība 2, ja atribūts dSHeuristics ir vismaz 20 rakstzīmes
28. rakstzīme : jābūt iestatītam uz 1, lai iespējotu ieviešanas režīmu papildu autentifikācijas pārbaudei
29. rakstzīme — LDAP modificēšanas darbību netieša īpašnieka pagaidu noņemšana
0. Auditēt pēc noklusējuma režīms ir iespējots. Notikums tiek reģistrēts, ja lietotāji bez domēna administratora tiesībām iestata securityDescriptor vērtībām, kas var piešķirt pārmērīgas atļaujas, potenciāli ļaujot turpmāk izmantot esošos datoros atvasinātos AD objektus.
1. Ieviešanas režīms ir iespējots. Tādējādi lietotāji bez domēna administratora tiesībām nevar iestatīt securityDescriptor vērtībām, kas var piešķirt pārmērīgas atļaujas esošiem datorizētiem AD objektiem. Notikums tiek reģistrēts arī tad, kad tas notiek.
2:Atspējo atjaunināto auditēšanu un neievieš pievienoto drošību. Nav ieteicams.
Piemērs: Ja jūsu mežā bija iestatītas papildu AuthZ pārbaudes dsHeuristics karodziņš un vēlaties pārslēgties uz ieviešanas režīmu pagaidu netiešajam īpašumtiesību noņemšanai, atribūtam dSHeuristics jābūt iestatītam kā:
"00000000010000000002000000011"
Šajā gadījumā iestatītās rakstzīmes ir:
10. rakstība : ja atribūts dSHeuristics ir vismaz 10 rakstzīmes, tam ir jābūt iestatītam uz 1.
20rakstz : jāiestata vērtība 2, ja atribūts dSHeuristics ir vismaz 20 rakstzīmes
28. rakstzīme : jābūt iestatītam uz 1, lai iespējotu ieviešanas režīmu papildu autentifikācijas pārbaudei
29. rakstība : jāiestata uz 1, lai iespējotu ieviešanas režīmu pagaidu netiešajam īpašumtiesību noņemšanai
Tikko pievienoti notikumi
Arī 2021. gada 9. novembra Windows atjauninājums pievienos jaunus notikumu žurnālus.
Režīma maiņas notikumi — papildu AuthZ pārbaude LDAP pievienošanas darbībām
Notikumi, kas notiek, kad tiek mainīts atribūta dSHeuristics 28. bits, kas maina papildu AuthZ verifikācijas režīmu LDAP darbību daļai atjauninājumā.
|
Notikumu žurnāls |
Direktorija pakalpojumi |
|
Notikuma tips |
Informaīvs |
|
Notikuma ID |
3050 |
|
Notikuma teksts |
Direktorijs ir konfigurēts tā, lai LDAP pievienošanas darbību laikā ieviestu atļaujas katram atribūtam. Šis ir visd drošais iestatījums un nekādas turpmākas darbības nav jāveic. |
|
Notikumu žurnāls |
Direktorija pakalpojumi |
|
Notikuma tips |
Brīdinājums |
|
Notikuma ID |
3051 |
|
Notikuma teksts |
Direktorijs ir konfigurēts tā, lai LDAP pievienošanas darbību laikā nav spēkā autorizācija katram atribūtam. Brīdinājuma notikumi tiks reģistrēti, bet pieprasījumi netiks bloķēti. Šis iestatījums nav drošs, un to var izmantot tikai kā pagaidu problēmu novēršanas darbību. Lūdzu, skatiet piedāvātos risku mazināšanas pasākumus tālāk redzamajā saiti. |
|
Notikumu žurnāls |
Direktorija pakalpojumi |
|
Notikuma tips |
Kļūda |
|
Notikuma ID |
3052 |
|
Notikuma teksts |
Direktorijs ir konfigurēts tā, lai LDAP pievienošanas darbību laikā nav spēkā autorizācija katram atribūtam. Notikumi netiks reģistrēti un pieprasījumi netiks bloķēti. Šis iestatījums nav drošs, un to var izmantot tikai kā pagaidu problēmu novēršanas darbību. Lūdzu, skatiet piedāvātos risku mazināšanas pasākumus tālāk redzamajā saiti. |
Režīma izmaiņu notikumi — netieša īpašnieka tiesību pagaidu noņemšana
Notikumi, kas notiek, ja tiek mainīts atribūta dSHeuristics 29. bits, kas maina atjauninājuma implicit owner tiesību daļas pagaidu noņemšanas režīmu.
|
Notikumu žurnāls |
Direktorija pakalpojumi |
|
Notikuma tips |
Informaīvs |
|
Notikuma ID |
3053 |
|
Notikuma teksts |
Direktorijs ir konfigurēts, lai bloķētu netiešas īpašnieka privilēģijas, sākotnēji iestatot vai modificējot atribūtu nTSecurityDescriptor LDAP pievienošanas un modificēšanas darbību laikā. Šis ir visd drošais iestatījums un nekādas turpmākas darbības nav jāveic. |
|
Notikumu žurnāls |
Direktorija pakalpojumi |
|
Notikuma tips |
Brīdinājums |
|
Notikuma ID |
3054 |
|
Notikuma teksts |
Direktorijs ir konfigurēts, lai atļautu netiešas īpašnieka privilēģijas, sākotnēji iestatot vai modificējot atribūtu nTSecurityDescriptor LDAP pievienošanas un modificēšanas darbību laikā. Brīdinājuma notikumi tiks reģistrēti, bet pieprasījumi netiks bloķēti. Šis iestatījums nav drošs, un to var izmantot tikai kā pagaidu problēmu novēršanas darbību. |
|
Notikumu žurnāls |
Direktorija pakalpojumi |
|
Notikuma tips |
Kļūda |
|
Notikuma ID |
3055 |
|
Notikuma teksts |
Direktorijs ir konfigurēts, lai atļautu netiešas īpašnieka privilēģijas, sākotnēji iestatot vai modificējot atribūtu nTSecurityDescriptor LDAP pievienošanas un modificēšanas darbību laikā. Notikumi netiks reģistrēti un pieprasījumi netiks bloķēti. Šis iestatījums nav drošs, un to var izmantot tikai kā pagaidu problēmu novēršanas darbību. |
Audita režīma notikumi
Notikumi, kas notiek audita režīmā, lai reģistrēt iespējamās drošības problēmas ar LDAP pievienošanas vai modificēšanas darbību.
|
Notikumu žurnāls |
Direktorija pakalpojumi |
|
Notikuma tips |
Brīdinājums |
|
Notikuma ID |
3047 |
|
Notikuma teksts |
Direktorija pakalpojums konstatēja LDAP pievienošanas pieprasījumu tālāk redzamam objektam, kas parasti būtu bloķēts šādu drošības iemeslu dēļ. Klientam nav atļaujas rakstīt vienu vai vairākus atribūtus, kas iekļauti pievienošanas pieprasījumā, pamatojoties uz noklusējuma sapludināto drošības vērtību. Pieprasījums tika atļauts turpināt, jo direktorijs pašlaik ir konfigurēts tikai audita režīmā šai drošības pārbaudei. Objekta DN: <objekta DN> Objektu klase: <objekta objekta> klase Lietotājs: <lietotājs, kurš mēģināja izmantot LDAP,> Klienta IP adrese: <pieprasītāja IP adreses> Drošības desk: <SD, kas tika> |
|
Notikumu žurnāls |
Direktorija pakalpojumi |
|
Notikuma tips |
Brīdinājums |
|
Notikuma ID |
3048 |
|
Notikuma teksts |
Direktorija pakalpojums konstatēja LDAP pievienošanas pieprasījumu tālāk redzamam objektam, kas parasti būtu bloķēts šādu drošības iemeslu dēļ. Klients pieprasījumā iekļāva atribūtu nTSecurityDescriptor, taču nav tiešas atļaujas rakstīt vienu vai vairākas jaunās drošības deskriptora daļas, pamatojoties uz noklusējuma sapludināto drošības vienums. Pieprasījums tika atļauts turpināt, jo direktorijs pašlaik ir konfigurēts tikai audita režīmā šai drošības pārbaudei. Objekta DN: <objekta DN> Objektu klase: <objekta objekta> klase Lietotājs: <lietotājs, kurš mēģināja izmantot LDAP,> Klienta IP adrese: <pieprasītāja IP adreses> |
|
Notikumu žurnāls |
Direktorija pakalpojumi |
|
Notikuma tips |
Brīdinājums |
|
Notikuma ID |
3049 |
|
Notikuma teksts |
Direktorija pakalpojums konstatēja LDAP modificēšanas pieprasījumu tālāk redzamam objektam, kas parasti būtu bloķēts šādu drošības iemeslu dēļ. Klients pieprasījumā iekļāva atribūtu nTSecurityDescriptor, taču nav tiešas atļaujas rakstīt vienu vai vairākas jaunās drošības deskriptora daļas, pamatojoties uz noklusējuma sapludināto drošības vienums. Pieprasījums tika atļauts turpināt, jo direktorijs pašlaik ir konfigurēts tikai audita režīmā šai drošības pārbaudei. Objekta DN: <objekta DN> Objektu klase: <objekta objekta> klase Lietotājs: <lietotājs, kurš mēģināja izmantot LDAP,> Klienta IP adrese: <pieprasītāja IP adreses> |
|
Notikumu žurnāls |
Direktorija pakalpojumi |
|
Notikuma tips |
Brīdinājums |
|
Notikuma ID |
3056 |
|
Notikuma teksts |
Direktorija pakalpojums apstrādāja vaicājumu atribūtam sdRightsEffective tālāk norādītajā objektā. Atgrieztā piekļuves maska bija WRITE_DAC, bet tikai tāpēc, ka direktorijs ir konfigurēts, lai atļautu netiešas īpašnieka privilēģijas, kas nav drošs iestatījums. Objekta DN: <objekta DN> Lietotājs: <lietotājs, kurš mēģināja izmantot LDAP,> Klienta IP adrese: <pieprasītāja IP adreses> |
Ieviešanas režīms — LDAP pievienošanas kļūmes
Notikumi, kas notiek, ja LDAP pievienošanas darbība ir liegta.
|
Notikumu žurnāls |
Direktorija pakalpojumi |
|
Notikuma tips |
Brīdinājums |
|
Notikuma ID |
3044 |
|
Notikuma teksts |
Direktorija pakalpojums liedza LDAP pievienošanas pieprasījumu tālāk redzamam objektam. Pieprasījums tika noraidīts, jo klientam nav atļaujas rakstīt vienu vai vairākus atribūtus, kas iekļauti pievienošanas pieprasījumā, pamatojoties uz noklusējuma sapludināto drošības vērtību. Objekta DN: <objekta DN> Objektu klase: <objekta objekta> klase Lietotājs: <lietotājs, kurš mēģināja izmantot LDAP,> Klienta IP adrese: <pieprasītāja IP adreses> Drošības desk: <SD, kas tika> |
|
Notikumu žurnāls |
Direktorija pakalpojumi |
|
Notikuma tips |
Brīdinājums |
|
Notikuma ID |
3045 |
|
Notikuma teksts |
Direktorija pakalpojums liedza LDAP pievienošanas pieprasījumu tālāk redzamam objektam. Pieprasījums tika noraidīts, jo klientam pievienošanas pieprasījumā bija iekļauts atribūts nTSecurityDescriptor, taču tam nav tiešas atļaujas rakstīt vienu vai vairākas jaunās drošības deskriptora daļas, pamatojoties uz noklusējuma sapludināto drošības raksturlielumu. Objekta DN: <objekta DN> Objektu klase: <objekta objekta> klase Lietotājs: <lietotājs, kurš mēģināja izmantot LDAP,> Klienta IP adrese: <pieprasītāja IP adreses> |
Ieviešanas režīms — LDAP modificēšanas kļūmes
Notikumi, kas notiek, ja LDAP modificēšanas darbība ir liegta.
|
Notikumu žurnāls |
Direktorija pakalpojumi |
|
Notikuma tips |
Brīdinājums |
|
Notikuma ID |
3046 |
|
Notikuma teksts |
Direktorija pakalpojums liedza LDAP modificēšanas pieprasījumu tālāk redzamam objektam. Pieprasījums tika noraidīts, jo klientam modificēšanas pieprasījumā bija iekļauts atribūts nTSecurityDescriptor, taču tam nav tiešas atļaujas rakstīt vienu vai vairākas jaunās drošības deskriptora daļas, pamatojoties uz objekta esošo drošības gadījumu. Objekta DN: <objekta DN> Objektu klase: <objekta objekta> klase Lietotājs: <lietotājs, kurš mēģināja izmantot LDAP,> Klienta IP adrese: <pieprasītāja IP adreses> |
Bieži uzdotie jautājumi
1. jautājums Kas notiek, ja man ir sajaucti Active Directory domēnu kontrolleri, kas ir atjaunināti un nav atjaunināti?
A1 DC, kas nav atjaunināti, ne reģistrēt notikumus, kas saistīti ar šo ievainojamību.
2. kā rīkoties, Read-Only domēnu kontrolleriem (RODC)?
A2 Nekas; LDAP pievienošanas un modificēšanas operācijas nevar mērķa RODC.
Q3 man ir trešās puses produkts vai process, kas neizdodas pēc ieviešanas režīma iespējošanas. Vai man ir jāpiešķir pakalpojuma vai lietotāja domēna administratora tiesības?
A3 Parasti nav ieteicams pievienot pakalpojumu vai lietotāju domēnu administratoru grupai kā pirmo šīs problēmas risinājumu. Pārbaudiet notikumu žurnālus, lai uzzinātu, kādas konkrētas atļaujas ir nepieciešamas, un apsveriet iespēju deleģēt šim lietotājam atbilstošās ierobežotās tiesības atsevišķā organizācijā, kas norādīta šim nolūkam.
4. c. redzu audita notikumus arī LDS serveriem. Kāpēc tas notiek?
A4Viss iepriekš minētais attiecas arī uz AD LDS, lai gan ir ļoti neierasti datora objekti LDS. Ir jāveic arī risku mazināšanas darbības, lai iespējotu AD LDS aizsardzību, ja audita režīms neatrod nekādas neparedzētas privilēģijas.
