Bijgewerkt op 20-03-2024 : LDS-verwijzingen toegevoegd
Samenvatting
CVE-2021-42291 lost een beveiligingsprobleem op waardoor bepaalde gebruikers willekeurige waarden kunnen instellen op beveiligingsgevoelige kenmerken van specifieke objecten die zijn opgeslagen in Active Directory (AD) of Lightweight Directory Service (LDS). Als u misbruik wilt maken van dit beveiligingsprobleem, moet een gebruiker voldoende bevoegdheden hebben om een computer afgeleid object te maken, zoals een gebruiker die CreateChild-machtigingen heeft verleend voor computerobjecten. Die gebruiker kan een computeraccount maken met behulp van een LDAP-aanroep (Lightweight Directory Access Protocol) waarmee te veel toegang tot het kenmerk securityDescriptor wordt toegestaan. Daarnaast kunnen makers en eigenaren beveiligingsgevoelige kenmerken wijzigen nadat ze een account hebben gemaakt. Dit kan worden gebruikt om in bepaalde scenario's een uitbreiding van bevoegdheden uit te voeren.
OpmerkingMet LDS worden gebeurtenissen 3050, 3053, 3051 en 3054 vastgelegd over de status van impliciete toegang tot objecten, net zoals AD doet.
Risicobeperkingen in CVE-2021-42291 bestaan uit:
-
Aanvullende autorisatieverificatie wanneer gebruikers zonder domein- of LDS-beheerdersrechten een LDAP-bewerking voor een van een computer afgeleid object proberen toe te voegen. Dit omvat een standaardcontrolemodus die controleert wanneer dergelijke pogingen plaatsvinden zonder de aanvraag te verstoren en een afdwingingsmodus die dergelijke pogingen blokkeert.
-
Tijdelijke verwijdering van de bevoegdheden van de impliciete eigenaar wanneer gebruikers zonder domeinbeheerdersrechten een LDAP-bewerking wijzigen op het kenmerk securityDescriptor proberen. Er wordt een verificatie uitgevoerd om te bevestigen of de gebruiker de beveiligingsdescriptor mag schrijven zonder bevoegdheden van impliciete eigenaar. Dit omvat ook een standaardcontrolemodus die controleert wanneer dergelijke pogingen plaatsvinden zonder de aanvraag te verstoren en een afdwingingsmodus die dergelijke pogingen blokkeert.
Actie ondernemen
Voer de volgende stappen uit om uw omgeving te beschermen en storingen te voorkomen:
-
Werk alle apparaten bij die als host fungeren voor de Active Directory-domeincontroller of LDS-serverfunctie door de meest recente Windows-updates te installeren. Dc's met de updates van 9 november 2021 of hoger hebben de wijzigingen standaard in de controlemodus.
-
Bewaak de Directory Service of het LDS-gebeurtenislogboek voor 3044-3056-gebeurtenissen op domeincontrollers en LDS-servers met de Windows-updates van 9 november 2021 of hoger. Vastgelegde gebeurtenissen geven aan dat een gebruiker mogelijk overmatige bevoegdheden heeft om computeraccounts te maken met willekeurige beveiligingsgevoelige kenmerken. Meld onverwachte scenario's aan Microsoft met behulp van een Premier- of Unified Support-case of de Feedback-hub. (Een voorbeeld van deze gebeurtenissen vindt u in de sectie Nieuw toegevoegde gebeurtenissen.)
-
Als de controlemodus gedurende voldoende tijd geen onverwachte bevoegdheden detecteert, schakelt u over naar de afdwingingsmodus om ervoor te zorgen dat er geen negatieve resultaten optreden. Meld onverwachte scenario's aan Microsoft met behulp van een Premier- of Unified Support-case of de Feedback-hub.
Timing van Windows-updates
Deze Windows-updates worden uitgebracht in twee fasen:
-
Initiële implementatie: inleiding van de update, met inbegrip van standaardcontrole, afdwingings- of uitschakelenmodi die kunnen worden geconfigureerd met behulp van het kenmerk dSHeuristics .
-
Definitieve implementatie: standaard afdwingen.
9 november 2021: Eerste implementatiefase
De eerste implementatiefase begint met de Windows-update die is uitgebracht op 9 november 2021. In deze release wordt de controle toegevoegd van machtigingen die zijn ingesteld door gebruikers zonder domeinbeheerdersrechten tijdens het maken of wijzigen van een computer of van een computer afgeleide objecten. Er wordt ook een afdwingingsmodus en een uitschakelen-modus toegevoegd. U kunt de modus globaal instellen voor elk Active Directory-forest met behulp van het kenmerk dSHeuristics .
(Bijgewerkt 15-12-2023) Laatste implementatiefase
De laatste implementatiefase kan beginnen zodra u de stappen in de sectie Actie ondernemen hebt voltooid. Als u naar de afdwingingsmodus wilt gaan, volgt u de instructies in de sectie Implementatierichtlijnen om de 28e en 29e bits in te stellen op het kenmerk dSHeuristics . Controleer vervolgens op gebeurtenissen 3044-3046. Ze melden wanneer de afdwingingsmodus een LDAP-bewerking voor toevoegen of wijzigen heeft geblokkeerd die mogelijk eerder was toegestaan in de controlemodus.
Implementatierichtlijnen
Configuratiegegevens instellen
Na de installatie van CVE-2021-42291 bepalen de tekens 28 en 29 van het kenmerk dSHeuristics het gedrag van de update. Het kenmerk dSHeuristics bestaat in elk Active Directory-forest en bevat instellingen voor het hele forest. Het kenmerk dSHeuristics is een kenmerk van het object 'CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>' (AD) of 'CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuratieset>' (LDS). Zie het kenmerk 6.1.1.2.4.1.2 dSHeuristics en DS-Heuristics voor meer informatie.
Teken 28: aanvullende verificaties voor LDAP-add-bewerkingen
0: Standaardcontrolemodus is ingeschakeld. Een gebeurtenis wordt geregistreerd wanneer gebruikers zonder domeinbeheerderrechten de securityDescriptor of andere kenmerken instellen op waarden die overmatige machtigingen kunnen verlenen, waardoor toekomstige exploitatie mogelijk wordt toegestaan, voor nieuwe computer afgeleide AD-objecten.
1: De afdwingingsmodus is ingeschakeld. Dit voorkomt dat gebruikers zonder domeinbeheerdersrechten de securityDescriptor of andere kenmerken instellen op waarden die overmatige machtigingen kunnen verlenen voor door de computer afgeleide AD-objecten. Een gebeurtenis wordt ook geregistreerd wanneer dit gebeurt.
2: hiermee schakelt u de bijgewerkte controle uit en wordt de toegevoegde beveiliging niet afgedwongen. Niet aanbevolen.
Voorbeeld: Als u geen andere dSHeuristics-instellingen hebt ingeschakeld in uw forest en u wilt overschakelen naar de afdwingingsmodus voor aanvullende verificatie van verificatie, moet het kenmerk dSHeuristics worden ingesteld op:
"0000000001000000000200000001"
De tekens die in dit geval worden ingesteld, zijn:
10e teken : moet worden ingesteld op 1 als het kenmerk dSHeuristics ten minste 10 tekens
is
20e teken: moet worden ingesteld op 2 als het kenmerk dSHeuristics ten minste 20 tekens
is
28e teken: moet worden ingesteld op 1 om de afdwingingsmodus in te schakelen voor aanvullende verificatie van verificatie
Teken 29: tijdelijke verwijdering van impliciete eigenaar voor LDAP-wijzigingsbewerkingen
0: Standaardcontrolemodus is ingeschakeld. Een gebeurtenis wordt geregistreerd wanneer gebruikers zonder domeinbeheerdersrechten de securityDescriptor instellen op waarden die overmatige machtigingen kunnen verlenen, mogelijk toekomstige exploitatie mogelijk maken, op bestaande, computer-afgeleide AD-objecten.
1: De afdwingingsmodus is ingeschakeld. Dit voorkomt dat gebruikers zonder domeinbeheerdersrechten de securityDescriptor instellen op waarden die overmatige machtigingen kunnen verlenen voor bestaande, op de computer afgeleide AD-objecten. Een gebeurtenis wordt ook geregistreerd wanneer dit gebeurt.
2: hiermee schakelt u de bijgewerkte controle uit en wordt de toegevoegde beveiliging niet afgedwongen. Niet aanbevolen.
Voorbeeld: Als u alleen de dsHeuristics-vlag aanvullende verificatie hebt ingesteld in uw forest en u wilt overschakelen naar de afdwingingsmodus voor tijdelijke verwijdering van impliciet eigendom, moet het kenmerk dSHeuristics worden ingesteld op:
"00000000010000000002000000011"
De tekens die in dit geval worden ingesteld, zijn:
10e teken: moet worden ingesteld op 1 als het kenmerk dSHeuristics ten minste 10 tekens
is
20e teken: moet worden ingesteld op 2 als het kenmerk dSHeuristics ten minste 20 tekens
is
28e teken: moet worden ingesteld op 1 om de afdwingingsmodus in te schakelen voor aanvullende verificatie van
verificatie
29e teken: moet worden ingesteld op 1 om de afdwingingsmodus in te schakelen voor tijdelijke verwijdering van impliciet eigendom
Nieuw toegevoegde gebeurtenissen
De Windows-update van 9 november 2021 voegt ook nieuwe gebeurtenislogboeken toe.
Moduswijzigingsevenementen : aanvullende verificatie van verificatie voor LDAP-add-bewerkingen
Gebeurtenissen die optreden wanneer bit 28 van het kenmerk dSHeuristics wordt gewijzigd, waardoor de modus van de Aanvullende verificatie van verificaties voor verificaties voor LDAP Add van de update wordt gewijzigd.
|
Gebeurtenislogboek |
Directory Services |
|
Gebeurtenistype |
Informatieve |
|
Gebeurtenis-id |
3050 |
|
Gebeurtenistekst |
De directory is geconfigureerd voor het afdwingen van autorisatie per kenmerk tijdens LDAP-toevoegbewerkingen. Dit is de veiligste instelling en er is geen verdere actie vereist. |
|
Gebeurtenislogboek |
Directory Services |
|
Gebeurtenistype |
Waarschuwing |
|
Gebeurtenis-id |
3051 |
|
Gebeurtenistekst |
De directory is geconfigureerd om autorisatie per kenmerk niet af te dwingen tijdens LDAP-add-bewerkingen. Waarschuwingsgebeurtenissen worden geregistreerd, maar er worden geen aanvragen geblokkeerd. Deze instelling is niet veilig en mag alleen worden gebruikt als een tijdelijke stap voor probleemoplossing. Bekijk de voorgestelde oplossingen in de onderstaande koppeling. |
|
Gebeurtenislogboek |
Directory Services |
|
Gebeurtenistype |
Fout |
|
Gebeurtenis-id |
3052 |
|
Gebeurtenistekst |
De directory is geconfigureerd om autorisatie per kenmerk niet af te dwingen tijdens LDAP-add-bewerkingen. Er worden geen gebeurtenissen geregistreerd en er worden geen aanvragen geblokkeerd. Deze instelling is niet veilig en mag alleen worden gebruikt als een tijdelijke stap voor probleemoplossing. Bekijk de voorgestelde oplossingen in de onderstaande koppeling. |
Mode Change Events : tijdelijke verwijdering van impliciete eigenaarsrechten
Gebeurtenissen die optreden wanneer bit 29 van het kenmerk dSHeuristics wordt gewijzigd, waardoor de modus van de tijdelijke verwijdering van het rechtengedeelte van de impliciete eigenaar van de update wordt gewijzigd.
|
Gebeurtenislogboek |
Directory Services |
|
Gebeurtenistype |
Informatieve |
|
Gebeurtenis-id |
3053 |
|
Gebeurtenistekst |
De directory is geconfigureerd om impliciete eigenaarsbevoegdheden te blokkeren bij het instellen of wijzigen van het kenmerk nTSecurityDescriptor tijdens ldap-bewerkingen voor toevoegen en wijzigen. Dit is de veiligste instelling en er is geen verdere actie vereist. |
|
Gebeurtenislogboek |
Directory Services |
|
Gebeurtenistype |
Waarschuwing |
|
Gebeurtenis-id |
3054 |
|
Gebeurtenistekst |
De directory is geconfigureerd om impliciete eigenaarsbevoegdheden toe te staan bij het instellen of wijzigen van het kenmerk nTSecurityDescriptor tijdens ldap-bewerkingen voor toevoegen en wijzigen. Waarschuwingsgebeurtenissen worden geregistreerd, maar er worden geen aanvragen geblokkeerd. Deze instelling is niet veilig en mag alleen worden gebruikt als een tijdelijke stap voor probleemoplossing. |
|
Gebeurtenislogboek |
Directory Services |
|
Gebeurtenistype |
Fout |
|
Gebeurtenis-id |
3055 |
|
Gebeurtenistekst |
De directory is geconfigureerd om impliciete eigenaarsbevoegdheden toe te staan bij het instellen of wijzigen van het kenmerk nTSecurityDescriptor tijdens ldap-bewerkingen voor toevoegen en wijzigen. Er worden geen gebeurtenissen geregistreerd en er worden geen aanvragen geblokkeerd. Deze instelling is niet veilig en mag alleen worden gebruikt als een tijdelijke stap voor probleemoplossing. |
Controlemodusgebeurtenissen
Gebeurtenissen die optreden in de controlemodus om potentiële beveiligingsproblemen met een LDAP-bewerking voor toevoegen of wijzigen te registreren.
|
Gebeurtenislogboek |
Directory Services |
|
Gebeurtenistype |
Waarschuwing |
|
Gebeurtenis-id |
3047 |
|
Gebeurtenistekst |
De adreslijstservice heeft een LDAP-aanvraag voor het toevoegen van het volgende object gedetecteerd die normaal gesproken om de volgende beveiligingsredenen zou zijn geblokkeerd. De client was niet gemachtigd om een of meer kenmerken te schrijven die zijn opgenomen in de aanvraag voor toevoegen, op basis van de standaard samengevoegde beveiligingsdescriptor. De aanvraag is toegestaan om door te gaan omdat de map momenteel is geconfigureerd voor de modus Alleen-controleren voor deze beveiligingscontrole. Object-DN: de DN-> van <gemaakt object Objectklasse: <objectklasse> Gebruiker: <gebruiker die de LDAP-> heeft geprobeerd toe te voegen IP-adres van client: <het IP-adres van de aanvrager> Beveiligingsdesc: <de SD die is geprobeerd> |
|
Gebeurtenislogboek |
Directory Services |
|
Gebeurtenistype |
Waarschuwing |
|
Gebeurtenis-id |
3048 |
|
Gebeurtenistekst |
De adreslijstservice heeft een LDAP-aanvraag voor het toevoegen van het volgende object gedetecteerd die normaal gesproken om de volgende beveiligingsredenen zou zijn geblokkeerd. De client heeft een kenmerk nTSecurityDescriptor opgenomen in de aanvraag voor toevoegen, maar had geen expliciete machtiging om een of meer onderdelen van de nieuwe beveiligingsdescriptor te schrijven, op basis van de standaard samengevoegde beveiligingsdescriptor. De aanvraag is toegestaan om door te gaan omdat de map momenteel is geconfigureerd voor de modus Alleen-controleren voor deze beveiligingscontrole. Object-DN: de DN-> van <gemaakt object Objectklasse: <objectklasse> Gebruiker: <gebruiker die de LDAP-> heeft geprobeerd toe te voegen IP-adres van client: <het IP-adres van de aanvrager> |
|
Gebeurtenislogboek |
Directory Services |
|
Gebeurtenistype |
Waarschuwing |
|
Gebeurtenis-id |
3049 |
|
Gebeurtenistekst |
De adreslijstservice heeft een LDAP-wijzigingsaanvraag gedetecteerd voor het volgende object dat normaal gesproken om de volgende beveiligingsredenen zou zijn geblokkeerd. De client heeft een kenmerk nTSecurityDescriptor opgenomen in de aanvraag voor toevoegen, maar had geen expliciete machtiging om een of meer onderdelen van de nieuwe beveiligingsdescriptor te schrijven, op basis van de standaard samengevoegde beveiligingsdescriptor. De aanvraag is toegestaan om door te gaan omdat de map momenteel is geconfigureerd voor de modus Alleen-controleren voor deze beveiligingscontrole. Object-DN: de DN-> van <gemaakt object Objectklasse: <objectklasse> Gebruiker: <gebruiker die de LDAP-> heeft geprobeerd toe te voegen IP-adres van client: <het IP-adres van de aanvrager> |
|
Gebeurtenislogboek |
Directory Services |
|
Gebeurtenistype |
Waarschuwing |
|
Gebeurtenis-id |
3056 |
|
Gebeurtenistekst |
De directoryservice heeft een query verwerkt voor het kenmerk sdRightsEffective op het object dat hieronder is opgegeven. Het geretourneerde toegangsmasker bevat WRITE_DAC, maar alleen omdat de map is geconfigureerd om impliciete eigenaarsbevoegdheden toe te staan, wat geen beveiligde instelling is. Object-DN: de DN-> van <gemaakt object Gebruiker: <gebruiker die de LDAP-> heeft geprobeerd toe te voegen IP-adres van client: <het IP-adres van de aanvrager> |
Afdwingingsmodus - LDAP-fouten toevoegen
Gebeurtenissen die optreden wanneer een LDAP-add-bewerking wordt geweigerd.
|
Gebeurtenislogboek |
Directory Services |
|
Gebeurtenistype |
Waarschuwing |
|
Gebeurtenis-id |
3044 |
|
Gebeurtenistekst |
De adreslijstservice heeft een LDAP-aanvraag voor het toevoegen van het volgende object geweigerd. De aanvraag is geweigerd omdat de client niet gemachtigd was om een of meer kenmerken te schrijven die zijn opgenomen in de aanvraag voor toevoegen, op basis van de standaard samengevoegde beveiligingsdescriptor. Object-DN: de DN-> van <gemaakt object Objectklasse: <objectklasse> Gebruiker: <gebruiker die de LDAP-> heeft geprobeerd toe te voegen IP-adres van client: <het IP-adres van de aanvrager> Beveiligingsdesc: <de SD die is geprobeerd> |
|
Gebeurtenislogboek |
Directory Services |
|
Gebeurtenistype |
Waarschuwing |
|
Gebeurtenis-id |
3045 |
|
Gebeurtenistekst |
De adreslijstservice heeft een LDAP-aanvraag voor het toevoegen van het volgende object geweigerd. De aanvraag is geweigerd omdat de client een nTSecurityDescriptor-kenmerk in de aanvraag voor toevoegen heeft opgenomen, maar geen expliciete machtiging had om een of meer onderdelen van de nieuwe beveiligingsdescriptor te schrijven, op basis van de standaard samengevoegde beveiligingsdescriptor. Object-DN: de DN-> van <gemaakt object Objectklasse: <objectklasse> Gebruiker: <gebruiker die de LDAP-> heeft geprobeerd toe te voegen IP-adres van client: <het IP-adres van de aanvrager> |
Afdwingingsmodus - LDAP-wijzigingsfouten
Gebeurtenissen die optreden wanneer een LDAP-wijzigingsbewerking wordt geweigerd.
|
Gebeurtenislogboek |
Directory Services |
|
Gebeurtenistype |
Waarschuwing |
|
Gebeurtenis-id |
3046 |
|
Gebeurtenistekst |
De adreslijstservice heeft een LDAP-wijzigingsaanvraag geweigerd voor het volgende object. De aanvraag is geweigerd omdat de client een kenmerk nTSecurityDescriptor in de wijzigingsaanvraag heeft opgenomen, maar geen expliciete machtiging had om een of meer onderdelen van de nieuwe beveiligingsdescriptor te schrijven, op basis van de bestaande beveiligingsdescriptor van het object. Object-DN: de DN-> van <gemaakt object Objectklasse: <objectklasse> Gebruiker: <gebruiker die de LDAP-> heeft geprobeerd toe te voegen IP-adres van client: <het IP-adres van de aanvrager> |
Veelgestelde vragen
Q1 Wat gebeurt er als ik een combinatie van Active Directory-domeincontrollers heb die wel en niet zijn bijgewerkt?
A1 De DC's die niet worden bijgewerkt, registreren geen gebeurtenissen met betrekking tot dit beveiligingsprobleem.
Q2 Wat moet ik doen voor Read-Only domeincontrollers (RODC's)?
A2 Niets; LDAP-bewerkingen voor toevoegen en wijzigen kunnen niet gericht zijn op RODC's.
Q3 Ik heb een product of proces van derden dat mislukt na het inschakelen van de afdwingingsmodus. Moet ik de beheerdersrechten voor de service of het gebruikersdomein verlenen?
A3 Over het algemeen wordt afgeraden een service of gebruiker toe te voegen aan de groep Domeinadministrators als de eerste oplossing voor dit probleem. Bekijk de gebeurtenislogboeken om te zien welke specifieke machtiging is vereist en overweeg de juiste beperkte rechten voor die gebruiker te delegeren op een afzonderlijke organisatie-eenheid die voor dat doel is aangewezen.
Q4 Ik zie de controlegebeurtenissen ook voor LDS-servers. Hoe komt dat?
A4Al het bovenstaande is ook van toepassing op AD LDS, hoewel het zeer ongebruikelijk is om computerobjecten in LDS te hebben. De risicobeperkingsstappen moeten ook worden uitgevoerd om de beveiliging voor AD LDS in te schakelen wanneer de controlemodus geen onverwachte bevoegdheden detecteert.
