KB5008383 – Oppdateringer for Active Directory-tillatelser (CVE-2021-42291)

Oppsummering

CVE-2021-42291 adresserer et sikkerhetsproblem som gjør at enkelte brukere kan angi vilkårlige verdier på sikkerhetssensitive attributter for bestemte objekter som er lagret i Active Directory (AD) eller Lightweight Directory Service (LDS). Hvis du vil utnytte dette sikkerhetsproblemet, må en bruker ha tilstrekkelige rettigheter til å opprette et dataavledet objekt, for eksempel at en bruker har gitt CreateChild-tillatelser for dataobjekter. Denne brukeren kan opprette en datamaskinkonto ved hjelp av et LDAP-kall (Lightweight Directory Access Protocol) som gir altfor godtatt tilgang til securityDescriptor-attributtet . I tillegg kan opprettere og eiere endre sikkerhetssensitive attributter etter at du har opprettet en konto. Dette kan brukes til å utføre en rettighetsutvidelse i enkelte scenarioer.

MerkLDS loggfører hendelser 3050, 3053, 3051 og 3054 om statusen for implisitt tilgang til objekter, akkurat som AD gjør.

Begrensninger i CVE-2021-42291 består av:

Ekstra godkjenningsbekreftelse når brukere uten domene- eller LDS-administratorrettigheter prøver en LDAP-tilleggsoperasjon for et datamaskinavledet objekt. Dette inkluderer en audit-by-default-modus som overvåker når slike forsøk oppstår uten å forstyrre forespørselen og en håndhevelsesmodus som blokkerer slike forsøk.
Midlertidig fjerning av de implisitte eierrettighetene når brukere uten domeneadministratorrettigheter prøver en LDAP-endringsoperasjon på securityDescriptor-attributtet . Det oppstår en bekreftelse for å bekrefte om brukeren har tillatelse til å skrive sikkerhetsbeskrivelsen uten implisitte eierrettigheter. Dette inkluderer også en audit-by-default-modus som overvåker når slike forsøk oppstår uten å forstyrre forespørselen og en håndhevelsesmodus som blokkerer slike forsøk.

Utfør handling

Følg disse trinnene for å beskytte miljøet og unngå avbrudd:

Oppdater alle enheter som er vert for Active Directory-domenekontrolleren eller LDS Server-rollen, ved å installere de nyeste Windows-oppdateringene. Datamaskiner som har oppdateringene 9. november 2021 eller nyere, har som standard endringene i overvåkingsmodus.
Overvåk hendelsesloggen for katalogtjenesten eller LDS for 3044-3056-hendelser på domenekontrollere og LDS-servere som har Windows-oppdateringer 9. november 2021 eller nyere. Loggførte hendelser indikerer at en bruker kan ha store rettigheter til å opprette datamaskinkontoer med tilfeldige sikkerhetssensitive attributter. Rapporter eventuelle uventede scenarioer til Microsoft ved hjelp av en Premier- eller Unified Support-sak eller tilbakemeldingshuben. (Du finner et eksempel på disse hendelsene i delen Nylig lagt til hendelser.)
Hvis overvåkingsmodus ikke oppdager uventede rettigheter i tilstrekkelig tidsperiode, bytter du til håndhevelsesmodus for å sikre at ingen negative resultater oppstår. Rapporter eventuelle uventede scenarioer til Microsoft ved hjelp av en Premier- eller Unified Support-sak eller tilbakemeldingshuben.

Tidsberegning for Windows-oppdateringer

Disse Windows-oppdateringene lanseres i to faser:

Første distribusjon – Innføring i oppdateringen, inkludert audit-by-default, enforcement eller disable modes configurable using the dSHeuristics attributt.
Endelig distribusjon – Håndhevelse som standard.

9. november 2021: Første distribusjonsfase

Den første distribusjonsfasen starter med Windows-oppdateringen utgitt 9. november 2021. Denne utgivelsen legger til overvåking av tillatelser som er angitt av brukere uten domeneadministratorrettigheter under oppretting eller endring av en datamaskin eller datamaskinavledede objekter. Det legger også til en håndhevelses- og deaktiveringsmodus. Du kan angi modus globalt for hver Active Directory-skog ved hjelp av dSHeuristics-attributtet .

(Oppdatert 15.12.2023) Siste distribusjonsfase

Den siste distribusjonsfasen kan begynne når du har fullført trinnene som er oppført i Delen Utfør handling. Hvis du vil flytte til håndhevelsesmodus, følger du instruksjonene i delen Veiledning for distribusjon for å angi 28. og 29. biter på dSHeuristics-attributtet . Deretter overvåker du hendelser 3044-3046. De rapporterer når håndhevelsesmodus har blokkert en LDAP-tilleggs- eller endringsoperasjon som tidligere var tillatt i overvåkingsmodus.

Veiledning for distribusjon

Angi konfigurasjonsinformasjon

Når du har installert CVE-2021-42291, kontrollerer tegnene 28 og 29 i dSHeuristics-attributtet virkemåten til oppdateringen. DSHeuristics-attributtet finnes i hver Active Directory-skog og inneholder innstillinger for hele skogen. DSHeuristics-attributtet er et attributt av objektet CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD) eller "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS). Se 6.1.1.2.4.1.2 dSHeuristics og DS-Heuristics-attributtet for mer informasjon.

Tegn 28 – flere AuthZ-bekreftelser for LDAP-tilleggsoperasjoner

0: Overvåkingsmodus er aktivert. En hendelse logges når brukere uten domeneadministratorrettigheter angir securityDescriptor eller andre attributter til verdier som kan gi overflødige tillatelser, noe som potensielt tillater fremtidig utnyttelse, på nye datamaskinavledede AD-objekter.

1: Håndhevelsesmodus er aktivert. Dette hindrer brukere uten domeneadministratorrettigheter fra å angi securityDescriptor eller andre attributter til verdier som kan gi overflødige tillatelser på datamaskinavledede AD-objekter. En hendelse logges også når dette skjer.

2: Deaktiverer den oppdaterte overvåkingen og fremtvinger ikke den ekstra sikkerheten. Anbefales ikke.

Eksempel: Hvis du ikke hadde noen andre dSHeuristics-innstillinger aktivert i skogen, og du vil bytte til håndhevelsesmodus for ekstra AuthZ-bekreftelse, bør dSHeuristics-attributtet settes til:

"0000000001000000000200000001"

Tegnene som er angitt i dette tilfellet, er:
10^. tegn: Må settes til 1 hvis dSHeuristics-attributtet er minst 10 tegn
20^. tegn: Må settes til 2 hvis dSHeuristics-attributtet er minst 20 tegn
28^. tegn: Må settes til 1 for å aktivere håndhevelsesmodus for ekstra AuthZ-bekreftelse

Tegn 29 – midlertidig fjerning av implisitt eier for LDAP-endringsoperasjoner

0: Overvåkingsmodus er aktivert. En hendelse logges når brukere uten domeneadministratorrettigheter angir securityDescriptor til verdier som kan gi overflødige tillatelser, som potensielt tillater fremtidig utnyttelse, på eksisterende datamaskinavledede AD-objekter.

1: Håndhevelsesmodus er aktivert. Dette hindrer brukere uten domeneadministratorrettigheter fra å angi securityDescriptor til verdier som kan gi overflødige tillatelser på eksisterende datamaskinavledede AD-objekter. En hendelse logges også når dette skjer.

2:Deaktiverer den oppdaterte overvåkingen og fremtvinger ikke den ekstra sikkerheten. Anbefales ikke.

Eksempel: Hvis du bare hadde dsHeuristics-flagget for flere AuthZ-bekreftelser angitt i skogen, og du vil bytte til håndhevelsesmodus for midlertidig fjerning av implisitt eierskap, bør dSHeuristics-attributtet settes til:

"00000000010000000002000000011"

Tegnene som er angitt i dette tilfellet, er:
10^. tegn: Må settes til 1 hvis dSHeuristics-attributtet er minst 10 tegn
20^. tegn: Må settes til 2 hvis dSHeuristics-attributtet er minst 20 tegn
28^. tegn: Må settes til 1 for å aktivere håndhevelsesmodus for ekstra AuthZ-bekreftelse
29^. tegn: Må settes til 1 for å aktivere håndhevelsesmodus for midlertidig fjerning av implisitt eierskap

Nylig lagt til hendelser

Windows-oppdateringen 9. november 2021 legger også til nye hendelseslogger.

Endringshendelser for modus – ekstra AuthZ-bekreftelse for LDAP-tilleggsoperasjoner

Hendelser som oppstår når bit 28 i dSHeuristics-attributtet endres, noe som endrer modusen for flere AuthZ-bekreftelser for LDAP-tilleggsoperasjonsdelen av oppdateringen.

Hendelseslogg	Katalogtjenester
Hendelsestype	Informativ
Hendelses-ID	3050
Hendelsestekst	Katalogen er konfigurert til å fremtvinge godkjenning per attributt under LDAP-tilleggsoperasjoner. Dette er den sikreste innstillingen, og det kreves ingen ytterligere handling.

Hendelseslogg	Katalogtjenester
Hendelsestype	Advarsel
Hendelses-ID	3051
Hendelsestekst	Katalogen er konfigurert til ikke å fremtvinge godkjenning per attributt under LDAP-tilleggsoperasjoner. Advarselshendelser logges, men ingen forespørsler blokkeres. Denne innstillingen er ikke sikker og bør bare brukes som et midlertidig feilsøkingstrinn. Se gjennom de foreslåtte begrensningene i koblingen nedenfor.

Hendelseslogg	Katalogtjenester
Hendelsestype	Feil
Hendelses-ID	3052
Hendelsestekst	Katalogen er konfigurert til ikke å fremtvinge godkjenning per attributt under LDAP-tilleggsoperasjoner. Ingen hendelser blir loggført, og ingen forespørsler blokkeres. Denne innstillingen er ikke sikker og bør bare brukes som et midlertidig feilsøkingstrinn. Se gjennom de foreslåtte begrensningene i koblingen nedenfor.

Endringshendelser for modus – midlertidig fjerning av implisitte eierrettigheter

Hendelser som oppstår når bit 29 i dSHeuristics-attributtet endres, noe som endrer modusen for midlertidig fjerning av implisitt eiers rettighetsdel av oppdateringen.

Hendelseslogg	Katalogtjenester
Hendelsestype	Informativ
Hendelses-ID	3053
Hendelsestekst	Katalogen er konfigurert til å blokkere implisitte eierrettigheter når du først angir eller endrer nTSecurityDescriptor-attributtet under LDAP-operasjoner for å legge til og endre operasjoner. Dette er den sikreste innstillingen, og det kreves ingen ytterligere handling.

Hendelseslogg	Katalogtjenester
Hendelsestype	Advarsel
Hendelses-ID	3054
Hendelsestekst	Katalogen er konfigurert til å tillate implisitte eierrettigheter når du først angir eller endrer nTSecurityDescriptor-attributtet under LDAP-operasjoner for å legge til og endre operasjoner. Advarselshendelser logges, men ingen forespørsler blokkeres. Denne innstillingen er ikke sikker og bør bare brukes som et midlertidig feilsøkingstrinn.

Hendelseslogg	Katalogtjenester
Hendelsestype	Feil
Hendelses-ID	3055
Hendelsestekst	Katalogen er konfigurert til å tillate implisitte eierrettigheter når du først angir eller endrer nTSecurityDescriptor-attributtet under LDAP-operasjoner for å legge til og endre operasjoner. Ingen hendelser blir loggført, og ingen forespørsler blokkeres. Denne innstillingen er ikke sikker og bør bare brukes som et midlertidig feilsøkingstrinn.

Overvåkingsmodushendelser

Hendelser som forekommer i overvåkingsmodus for å logge potensielle sikkerhetsproblemer med en LDAP-operasjon for å legge til eller endre.

Hendelseslogg	Katalogtjenester
Hendelsestype	Advarsel
Hendelses-ID	3047
Hendelsestekst	Katalogtjenesten oppdaget en LDAP-tilleggsforespørsel for følgende objekt som normalt ville ha blitt blokkert av følgende sikkerhetsårsaker. Klienten hadde ikke tillatelse til å skrive ett eller flere attributter som er inkludert i legg til-forespørselen, basert på standard flettet sikkerhetsbeskrivelse. Forespørselen kan fortsette fordi katalogen er konfigurert til å være i overvåkingsmodus for denne sikkerhetskontrollen. Objekt-DN: <objektets DN-> Objektklasse: <objektets objectClass> Bruker: <bruker som prøvde Å legge til LDAP-> Klient-IP-adresse: <IP-adressen til anmoderen> Sikkerhetsdesc: <SD-en som ble forsøkt>

Hendelseslogg	Katalogtjenester
Hendelsestype	Advarsel
Hendelses-ID	3048
Hendelsestekst	Katalogtjenesten oppdaget en LDAP-tilleggsforespørsel for følgende objekt som normalt ville ha blitt blokkert av følgende sikkerhetsårsaker. Klienten inkluderte et nTSecurityDescriptor-attributt i tilleggsforespørselen, men hadde ikke eksplisitt tillatelse til å skrive én eller flere deler av den nye sikkerhetsbeskrivelsen, basert på standard flettet sikkerhetsbeskrivelse. Forespørselen kan fortsette fordi katalogen er konfigurert til å være i overvåkingsmodus for denne sikkerhetskontrollen. Objekt-DN: <objektets DN-> Objektklasse: <objektets objectClass> Bruker: <bruker som prøvde Å legge til LDAP-> Klient-IP-adresse: <IP-adressen til anmoderen>

Hendelseslogg	Katalogtjenester
Hendelsestype	Advarsel
Hendelses-ID	3049
Hendelsestekst	Katalogtjenesten oppdaget en LDAP-endringsforespørsel for følgende objekt som normalt ville ha blitt blokkert av følgende sikkerhetsårsaker. Klienten inkluderte et nTSecurityDescriptor-attributt i tilleggsforespørselen, men hadde ikke eksplisitt tillatelse til å skrive én eller flere deler av den nye sikkerhetsbeskrivelsen, basert på standard flettet sikkerhetsbeskrivelse. Forespørselen kan fortsette fordi katalogen er konfigurert til å være i overvåkingsmodus for denne sikkerhetskontrollen. Objekt-DN: <objektets DN-> Objektklasse: <objektets objectClass> Bruker: <bruker som prøvde Å legge til LDAP-> Klient-IP-adresse: <IP-adressen til anmoderen>

Hendelseslogg	Katalogtjenester
Hendelsestype	Advarsel
Hendelses-ID	3056
Hendelsestekst	Katalogtjenesten behandlet en spørring for sdRightsEffective-attributtet på objektet som er angitt nedenfor. Den returnerte tilgangsmasken inkluderte WRITE_DAC, men bare fordi katalogen er konfigurert til å tillate implisitte eierrettigheter som ikke er en sikker innstilling. Objekt-DN: <objektets DN-> Bruker: <bruker som prøvde Å legge til LDAP-> Klient-IP-adresse: <IP-adressen til anmoderen>

Håndhevelsesmodus – LDAP-tilleggsfeil

Hendelser som oppstår når en LDAP-tilleggsoperasjon nektes.

Hendelseslogg	Katalogtjenester
Hendelsestype	Advarsel
Hendelses-ID	3044
Hendelsestekst	Katalogtjenesten nektet en LDAP-tilleggsforespørsel for følgende objekt. Forespørselen ble avslått fordi klienten ikke hadde tillatelse til å skrive ett eller flere attributter som er inkludert i tilleggsforespørselen, basert på standard flettet sikkerhetsbeskrivelse. Objekt-DN: <objektets DN-> Objektklasse: <objektets objectClass> Bruker: <bruker som prøvde Å legge til LDAP-> Klient-IP-adresse: <IP-adressen til anmoderen> Sikkerhetsdesc: <SD-en som ble forsøkt>

Hendelseslogg	Katalogtjenester
Hendelsestype	Advarsel
Hendelses-ID	3045
Hendelsestekst	Katalogtjenesten nektet en LDAP-tilleggsforespørsel for følgende objekt. Forespørselen ble avslått fordi klienten inkluderte et nTSecurityDescriptor-attributt i tilleggsforespørselen, men ikke hadde eksplisitt tillatelse til å skrive én eller flere deler av den nye sikkerhetsbeskrivelsen, basert på standard flettet sikkerhetsbeskrivelse. Objekt-DN: <objektets DN-> Objektklasse: <objektets objectClass> Bruker: <bruker som prøvde Å legge til LDAP-> Klient-IP-adresse: <IP-adressen til anmoderen>

Håndhevelsesmodus – feil ved LDAP-endring

Hendelser som oppstår når en LDAP-endringsoperasjon nektes.

Hendelseslogg	Katalogtjenester
Hendelsestype	Advarsel
Hendelses-ID	3046
Hendelsestekst	Katalogtjenesten avviste en forespørsel om LDAP-endring for følgende objekt. Forespørselen ble avslått fordi klienten inkluderte et nTSecurityDescriptor-attributt i endringsforespørselen, men ikke hadde eksplisitt tillatelse til å skrive én eller flere deler av den nye sikkerhetsbeskrivelsen, basert på objektets eksisterende sikkerhetsbeskrivelse. Objekt-DN: <objektets DN-> Objektklasse: <objektets objectClass> Bruker: <bruker som prøvde Å legge til LDAP-> Klient-IP-adresse: <IP-adressen til anmoderen>

Vanlige spørsmål

Q1 Hva skjer hvis jeg har en blanding av Active Directory-domenekontrollere som oppdateres og ikke oppdateres?

A1 DC-ene som ikke oppdateres, logger ikke hendelser relatert til dette sikkerhetsproblemet.

Q2 Hva må jeg gjøre for Read-Only Domain Controllers (RODCs)?

A2 Ingenting; LDAP-operasjoner for legg til og endre kan ikke rette seg mot RODCer.

I 3. kvartal har jeg et tredjepartsprodukt eller en prosess som mislykkes etter aktivering av håndhevelsesmodus. Må jeg gi tjeneste- eller brukerdomeneadministratorrettigheter?

A3 Vi anbefaler vanligvis ikke å legge til en tjeneste eller bruker i gruppen domeneadministratorer som den første løsningen på dette problemet. Undersøk hendelsesloggene for å se hvilken bestemt tillatelse som kreves, og vurder å delegere passende begrensede rettigheter for denne brukeren på en egen organisasjonsenhet som er angitt for dette formålet.

I 4. kvartal ser jeg også overvåkingshendelsene for LDS-servere. Hvorfor skjer dette?

A4Alle de ovennevnte gjelder også for AD LDS, selv om det er svært uvanlig å ha dataobjekter i LDS. Avbøtingstrinnene bør også utføres for å aktivere beskyttelsen for AD LDS når overvåkingsmodus ikke oppdager uventede rettigheter.