Izmaiņu žurnāls
|
Mainiet 1: Jūnijs 19, 2023:
|
Šajā rakstā
Kopsavilkums
2022. gada 8. novembrī vai pēc 2022. gada 8. novembra izlaistie Windows atjauninājumi novērš priviliģēto privilēģiju ievainojamību un autentifikācijas ievainojamību, izmantojot vājas RC4-HMAC sarunas.
Šis atjauninājums iestatīs AES kā noklusējuma šifrēšanas tipu sesiju atslēgām kontos, kas vēl nav atzīmēti ar noklusējuma šifrēšanas tipu.
Lai palīdzētu aizsargāt savu vidi, instalējiet Windows atjauninājumus, kas izlaisti 2022. gada 8. novembrī vai pēc tās, visās ierīcēs, tostarp domēnu kontrolleros. Skatiet sadaļu 1. maiņa.
Lai uzzinātu vairāk par šīm ievainojamībām, skatiet CVE-2022-37966.
Atklāšana, tieši iestatot sesijas atslēgu šifrēšanas tipus
Iespējams, lietotāju kontos ir tieši definēti šifrēšanas tipi, kas ir neaizsargāti pret CVE-2022-37966. Meklējiet kontus, kuros DES/RC4 ir tieši iespējots, bet ne AES, izmantojot šādu Active Directory vaicājumu:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Reģistra atslēgas iestatījumi
Pēc Windows atjauninājumu instalēšanas, kas ir novecojuši 2022. gada 8. novembrī vai pēc tam, Kerberos protokolam ir pieejama šāda reģistra atslēga:
DefaultDomainSupportedEncTypes
|
Reģistra atslēga |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
|
Vērtība |
DefaultDomainSupportedEncTypes |
|
Datu tips |
REG_DWORD |
|
Datu vērtība |
0x27 (noklusējums) |
|
Vai nepieciešama restartēšana? |
Nē |
Piezīme Ja active Directory lietotājam vai datoram ir jāmaina noklusējuma atbalstītais šifrēšanas tips, manuāli pievienojiet un konfigurējiet reģistra atslēgu, lai iestatītu jauno atbalstīto šifrēšanas tipu. Ar šo atjauninājumu nevar automātiski pievienot reģistra atslēgu.
Windows domēnu kontrolleri izmanto šo vērtību, lai noteiktu atbalstītos šifrēšanas tipus kontiem pakalpojumā Active Directory, kuru vērtība msds-SupportedEncryptionType ir tukša vai neie iestatīta. Dators, kurā darbojas atbalstīta Windows operētājsistēmas versija, automātiski iestata msds-SupportedEncryptionTypes šim datoram Active Directory. Tā pamatā ir konfigurētā šifrēšanas tipu vērtība, ko atļauts izmantot Kerberos protokols. Papildinformāciju skatiet rakstā Tīkla drošība: Kerberos atļauto šifrēšanas tipu konfigurēšana.
Lietotāju kontiem, grupas pārvaldīto pakalpojumu kontiem un citiem kontiem pakalpojumā Active Directory nav automātiski iestatīta vērtība msds-SupportedEncryptionTypes .
Lai atrastu atbalstītos šifrēšanas tipus, kurus var iestatīt manuāli, skatiet sadaļu Atbalstītie šifrēšanas tipu bitu karodziņi. Papildinformāciju skatiet rakstā Kas jādara vispirms, lai palīdzētu sagatavot vidi un novērstu Kerberos autentifikācijas problēmas.
Noklusējuma vērtība ( 0x27 DES, RC4, AES sesijas atslēgas) tika izvēlēta kā minimālās izmaiņas, kas nepieciešamas šim drošības atjauninājumam. Iesakām klientiem iestatīt vērtību kā 0x3C , lai palielinātu drošību, jo šī vērtība ļaus gan AES šifrētām biļetēm, gan AES sesijas atslēgām. Ja klienti ir izpildīuši norādījumus, lai pārietu uz tikai AES vidē, kur RC4 netiek lietots Kerberos protokolam, iesakām klientiem iestatīt vērtību kā 0x38. Skatiet sadaļu 1. maiņa.
Windows notikumi, kas saistīti ar CVE-2022-37966
Kerberos atslēgu sadales centrā trūkst stipru atslēgu kontam
|
Notikumu žurnāls |
Sistēma |
|
Notikuma tips |
Kļūda |
|
Notikuma avots |
Kdcsvc |
|
Notikuma ID |
42 |
|
Notikuma teksts |
Kerberos atslēgu adresātu centrā nav stipru atslēgu kontam: konta nosaukums. Lai novērstu nedrošas šifrēšanas izmantošanu, jums ir jāatjaunina šī konta parole. Papildinformāciju https://go.microsoft.com/fwlink/?linkid=2210019 skatiet rakstā Papildinformācija. |
Ja atrodat šo kļūdu, jums visdrīzāk ir jāatiestata jūsu krbtgt parole, pirms iestatāt KrbtgtFullPacSingature = 3, vai instalējot Windows Atjauninājumi, kas izlaista 2023. gada 11. jūlijā vai pēc tam. Atjauninājums, kas programmiski iespējo ieviešanas režīmu CVE-2022-37967, ir dokumentēts šajā Microsoft zināšanu bāzes rakstā:
KB5020805: Kā pārvaldīt Kerberos protokola izmaiņas, kas saistītas ar CVE-2022-37967
Papildinformāciju par to, kā to paveikt, skatietNew-KrbtgtKeys.ps1 GitHub tīmekļa vietnē.
Bieži uzdotie jautājumi (bieži uzdotie jautājumi) un zināmās problēmas
Konti, kas ir atzīmēti tiešam RC4 lietojumam, ir neaizsargāti. Turklāt vides, kurās nav AES sesiju atslēgu jūsu krbgt kontā, var būt neaizsargātas. Lai mazinātu šo problēmu, izpildiet norādījumus par to, kā noteikt ievainojamību un izmantot reģistra atslēgas iestatījumu sadaļu , lai atjauninātu tieši šifrēšanas noklusējumu.
Jums būs jāpārbauda, vai visām jūsu ierīcēm ir lietots Kerberos šifrēšanas tips. Papildinformāciju par Kerberos šifrēšanas tipiem skatiet rakstā Atbalstīto Kerberos šifrēšanas tipu atlases atšifrēšana.
Vides bez bieži lietotā Kerberos šifrēšanas tipa iepriekš funkcionēja, jo automātiski tiek pievienots RC4 vai pievienots AES, ja RC4 tika atspējots, izmantojot domēnu kontrolleru grupas politiku. Šī darbība ir mainīta ar atjauninājumiem, kas izlaisti 2022. gada 8. novembrī vai pēc tam, un tagad stingri sekos tam, kas ir iestatīts reģistra atslēgās, msds-SupportedEncryptionTypes un DefaultDomainSupportedEncTypes.
Ja kontā nav iestatīta msds-SupportedEncryptionTypes vai ir iestatīta vērtība 0, domēna kontrolleri pieņem, ka noklusējuma vērtība ir 0x27 (39) vai domēna kontrolleris izmantos iestatījumu reģistra atslēgā DefaultDomainSupportedEncTypes.
Ja kontā ir iestatīta kopa msds-SupportedEncryptionTypes, šis iestatījums tiek ņemts vērā un var sniegt kļūmes, konfigurējis izplatītu Kerberos šifrēšanas tipu, ko maskēja iepriekšējā darbība, automātiski pievienojot RC4 vai AES, kas vairs nedarbojas pēc 2022. gada 8. novembra atjauninājumu instalēšanas.
Papildinformāciju par to, kā pārbaudīt, vai izmantojat izplatītu Kerberos šifrēšanas tipu, skatiet rakstā Jautājums Kā pārbaudīt, vai visām ierīcēm ir lietots Kerberos šifrēšanas tips?
Skatiet iepriekšējo jautājumu, lai iegūtu papildinformāciju, kāpēc jūsu ierīcēs pēc 2022. gada 8. novembra atjauninājumu instalēšanas, iespējams, netiek lietots Kerberos šifrēšanas tips.
Ja jums jau ir instalēti atjauninājumi, kas izlaisti 2022. gada 8. novembrī vai pēc tam, varat noteikt ierīces, kurām nav bieži lietotā Kerberos šifrēšanas tipa, meklējot Microsoft-Windows-Kerberos-Key-Distribution-Center Notikuma 27 notikumu žurnālā, kas identificē šifrēšanu starp Kerberos klientiem un attālajiem serveriem vai pakalpojumiem.
Atjauninājumu, kas izlaisti 2022. gada 8. novembrī vai pēc to instalēšanas klientiem vai lomu serveriem, kas nav domēna kontrollera lomu serveri, nevajadzētu ietekmēt Kerberos autentifikāciju jūsu vidē.
Lai mazinātu šo zināmo problēmu, atveriet komandu uzvednes logu kā administrators un īslaicīgi izmantojiet tālāk norādīto komandu, lai iestatītu reģistra atslēgu KrbtgtFullPacSignature uz 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Piezīme Kad šī zināmā problēma ir novērsta, iestatiet KrbtgtFullPacSignature uz augstāku iestatījumu atkarībā no tā, ko atļauj jūsu vide. Mēs iesakām iespējot ieviešanas režīmu, tiklīdz jūsu vide ir gatava.
Nākamās darbībasMēs strādājam pie risinājuma un nodrošināsim atjauninājumu nākamajā laidienā.
Pēc 2022. gada 8. novembra izlaisto atjauninājumu instalēšanas domēnu kontrolleros visām ierīcēm ir jāatbalsta AES biļešu parakstīšana, ja tā ir nepieciešama, lai nodrošinātu CVE-2022-37967 nepieciešamās drošības rūdības.
Nākamās darbības Ja jūsu ierīcēs, kas nav Windows ierīces, jau lietojat jaunāko programmatūru un aparātprogrammatūru, un esat pārbaudījis, vai starp Windows domēna kontrolleriem un ierīcēm, kas nav Windows ierīces, ir pieejams izplatīts šifrēšanas tips, sazinieties ar ierīces ražotāju (OEM), lai saņemtu palīdzību vai aizstātu ierīces ar atbilstošām ierīcēm.
SVARĪGI! Mēs neiesakām izmantot nevienu risinājumu, lai atļautu autentificēt neatbilstošas ierīces, jo tas var padarīt vidi neaizsargātu.
Neatbalstītās Windows versijas ietver Windows XP, Windows Server 2003, Windows Server 2008 SP2 un Windows Server 2008 R2 SP1, nevar piekļūt atjauninātās Windows ierīcēs, ja vien jums nav ESU licences. Ja jums ir ESU licence, jums būs jāinstalē atjauninājumi, kas izlaisti 2022. gada 8. novembrī vai pēc tam, un jāpārbauda, vai konfigurācijai ir kopīgs šifrēšanas tips starp visām ierīcēm.
Nākamās darbības Instalējiet atjauninājumus, ja tie ir pieejami jūsu Windows versijai un jums ir attiecīgā ESU licence. Ja atjauninājumi nav pieejami, jāveic jaunināšana uz atbalstītu Windows versiju vai kāda lietojumprogramma vai pakalpojums ir jāpārvieto uz saderīgu ierīci.
SVARĪGI! Mēs neiesakām izmantot nevienu risinājumu, lai atļautu autentificēt neatbilstošas ierīces, jo tas var padarīt vidi neaizsargātu.
Šī zināmā problēma tika novērsta ārpusjoslas atjauninājumos, kas izlaisti 2022. gada 17. novembrī un 2022. gada 18. novembrī, lai tos uzstādītu visos domēna kontrolleros jūsu vidē. Lai novērstu šo problēmu, nav jāinstalē atjauninājums un jāveic izmaiņas citos serveros vai klienta ierīcēs savā vidē. Ja šai problēmai izmantojat kādu risinājumu vai atvieglojumus, tie vairs nav nepieciešami, un iesakām tos noņemt.
Lai iegūtu savrupo pakotni šiem ārpusjoslas atjauninājumiem, meklējiet KB numuru Microsoft atjauninājumu katalogā. Varat manuāli importēt šos atjauninājumus Windows Server Update Services (WSUS) un Microsoft Endpoint Configuration Manager. WSUS norādījumus skatiet rakstā WSUS un kataloga vietne. Norādījumus par konfigurācijas pārvaldnieku skatiet rakstā Atjauninājumu importēšana no Microsoft atjauninājumu kataloga.
Piezīme Tālākie atjauninājumi nav pieejami no Windows Update un netiks instalēti automātiski.
Kumulatīvie atjauninājumi:
Piezīme Jums nav jālieto nekāds iepriekšējais atjauninājums, pirms instalējat šos kumulatīvos atjauninājumus. Ja jums jau ir instalēti atjauninājumi, kas izlaisti 2022. gada 8. novembrī, nav nepieciešams atinstalēt ietekmētos atjauninājumus, pirms instalējat jaunākos atjauninājumus, tostarp iepriekš norādītos atjauninājumus.
Savrupas Atjauninājumi:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (izlaists 2022. gada 18. novembrī)
-
Windows Server 2008 SP2: KB5021657
Piezīmes
-
Ja izmantojat tikai drošības atjauninājumus šīm Windows Server versijām, šie savrupie atjauninājumi ir jāinstalē tikai 2022. gada novembra mēnesī. Tikai drošības atjauninājumi nav kumulatīvi, un jums būs jāinstalē visi iepriekšējie tikai drošības atjauninājumi, lai tie būtu pilnībā atjaunināti. Ikmēneša apkopojuma atjauninājumi ir kumulatīvi, un tie ietver drošību un visus kvalitātes atjauninājumus.
-
Ja izmantojat ikmēneša apkopojuma atjauninājumus, lai atrisinātu šo problēmu, ir jāinstalē gan iepriekš uzskaitītie savrupie atjauninājumi, gan 2022. gada 8. novembrī izlaistie ikmēneša apkopojumi, lai saņemtu 2022. gada novembra kvalitātes atjauninājumus. Ja jums jau ir instalēti atjauninājumi, kas izlaisti 2022. gada 8. novembrī, nav nepieciešams atinstalēt ietekmētos atjauninājumus, pirms instalējat jaunākos atjauninājumus, tostarp iepriekš norādītos atjauninājumus.
Ja esat pārbaudījis vides konfigurāciju un joprojām rodas problēmas saistībā ar Kerberos ieviešanu, kas nav Microsoft ieviešana, jums būs nepieciešami atjauninājumi vai atbalsts no lietojumprogrammas vai ierīces izstrādātāja vai ražotāja.
Šo zināmo problēmu var mazināt, veicot kādu no šīm darbībām:
-
Iestatiet msds-SupportedEncryptionTypes ar bitwise vai iestatiet to uz pašreizējo noklusējuma 0x27 lai saglabātu pašreizējo vērtību. Piemēram:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Iestatiet msds-SupportEncryptionTypes vērtību 0 , lai ļautu domēnu kontrolleriem izmantot noklusējuma vērtību 0x27.
Nākamās darbībasMēs strādājam pie risinājuma un nodrošināsim atjauninājumu nākamajā laidienā.
Glosārijs
Uzlabotais šifrēšanas standarts (Advanced Encryption Standard — AES) ir bloks, kas aizstāj datu šifrēšanas standartu (ADVANCED Encryption Standard — DES). AES var izmantot, lai aizsargātu elektroniskos datus. AES algoritmu var izmantot, lai šifrētu (encipher) un atšifrētu (salasāmu) informāciju. Šifrēšana konvertē datus nelasāmā formā, ko sauc par šifrēšanas tekstu; atšifrējot ciphertext, dati tiek konvertēti atpakaļ sākotnējā formā, kas tiek dēvēta par vienkāršu tekstu. AES tiek izmantots simetriskas atslēgas šifrēšanai, kas nozīmē, ka tā pati atslēga tiek izmantota šifrēšanas un atšifrēšanas operācijām. Tas ir arī bloka izdai, kas nozīmē, ka tas darbojas uz fiksēta lieluma vienkārša teksta un ciphertext blokiem, un tā lielumam ir nepieciešams gan vienkāršs teksts, gan arī šis bloka lielums, kas dalās bez noteikta lieluma. AES ir pazīstama arī kā Ndael simetriskā šifrēšanas algoritms [FIPS197].
Kerberos ir datora tīkla autentifikācijas protokols, kura pamatā ir "biļetes", lai nodrošinātu mezgliem, kas sazinās tīklā, lai drošā veidā pierādītu savu identitāti.
Kerberos pakalpojums, kas ievieš autentifikācijas un biļešu piešķiršanas pakalpojumus, kas norādīti Kerberos protokols. Pakalpojumu darbojas datoros, kurus atlasījis uzņēmuma administrators vai domēns. tā nav katrā tīkla datorā. Tai jābūt piekļuvei konta datu bāzei, lai iegūtu informāciju par to, kas tiek apkalpota. KDC tiek integrēti domēna kontrollera lomā. Tas ir tīkla pakalpojums, kas nodrošina biļetes klientiem izmantošanai pakalpojumu autentificēšanā.
RC4-HMAC (RC4) ir mainīgs atslēgas garuma simetriskās šifrēšanas algoritms. Papildinformāciju skatiet [SCHNEIER] sadaļā 17.1.
Relatīvi neilgi mierīga simetriska atslēga (šifrēšanas atslēga, par kuru ir apspriedies klients un serveris, balstoties uz koplietojamu noslēpumu). Sesiju atslēgu kalpošanas laika ilgumu ierobežo sesija, ar kuru tā ir saistīta. Sesijas atslēgai ir jābūt pietiekami stiprai, lai neatkarīgi no šifrēšanaslysis sesijas laikā.
Īpaša veida biļete, ko var izmantot citu biļešu iegūšanai. Biļešu piešķiršanas biļete (TGT) tiek iegūta pēc sākotnējās autentifikācijas autentifikācijas pakalpojumu (AS) apmaiņas pakalpojumā. pēc tam lietotājiem nav jā prezentē akreditācijas dati, bet viņi var izmantot TGT, lai iegūtu turpmākās biļetes.
