KB5008380 — atualizações de autenticação (CVE-2021-42287)

Resumo

CVE-2021-42287 corrige uma vulnerabilidade de desvio de segurança que afeta o Certificado de Atributos de Privilégio (PAC) do Kerberos e permite que invasores em potencial se passem por controladores de domínio. Para explorar essa vulnerabilidade, uma conta de domínio comprometida pode fazer com que o KDC (Centro de Distribuição de Chaves) crie um tíquete de serviço com um nível de privilégio mais alto do que o da conta comprometida. Ela faz isso evitando que o KDC identifique a qual conta o tíquete de serviço de privilégio mais alto se destina.

O processo de autenticação aprimorado no CVE-2021-42287 adiciona novas informações sobre o solicitante original aos PACs de Kerberos (TGT Ticket-Granting Tickets Ticket-Granting Tickets). Posteriormente, quando um tíquete de serviço Kerberos for gerado para uma conta, o novo processo de autenticação verificará se a conta que solicitou o TGT é a mesma conta referenciada no tíquete de serviço.

Depois da instalação das atualizações do Windows datadas de 9 de novembro de 2021 ou posteriores, os PACs serão adicionados ao TGT de todas as contas de domínio, mesmo aquelas que optaram anteriormente por recusar os PACs.

Tome medidas

Para proteger seu ambiente e evitar interrupções, conclua as seguintes etapas:

Atualize todos os dispositivos que hospedam a função de controlador de domínio do Active Directory, instalando a atualização de segurança de 9 de novembro de 2021 e a atualização OOB (fora de banda) de 14 de novembro de 2021. Encontre o número KB OOB para seu SO específico abaixo.

SO	Número da KB
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Após a atualização de segurança de 9 de novembro de 2021 e a atualização OOB de 14 de novembro de 2021 estarem instaladas em todos os controladores de domínio do Active Directory por pelo menos 7 dias, sugerimos expressamente que você habilite o modo de Imposição em todos os controladores de domínio do Active Directory.
A partir da atualização da Fase de Imposição de 11 de outubro de 2022 (atualizado), o modo de Imposição será habilitado em todos os controladores de domínio do Windows e será obrigatório.

Cronograma das atualizações do Windows - (Atualizado em 31/01/23)

Essas Atualizações do Windows serão lançadas em três fases:

Implantação inicial: introdução à atualização, bem como a chave do Registro PacRequestorEnforcement
Segunda implantação: remoção do valor PacRequestorEnforcement de 0 (capacidade de desabilitar a chave do Registro)
Fase de Imposição: o modo de Imposição é habilitado. Esta fase desativa a chave PacRequestorEnforcement e não a lê mais

9 de novembro de 2021: fase inicial de implantação

A fase inicial de implantação começa com a atualização do Windows lançada em 9 de novembro de 2021. Esta versão:

Adiciona proteções contra CVE-2021-42287
Adiciona suporte para o valor do Registro PacRequestorEnforcement,, que permite fazer a transição para a fase de Imposição mais cedo

A mitigação consiste na instalação de atualizações do Windows em todos os dispositivos que hospedam a função de controlador de domínio e RODCs (controladores de domínio somente leitura).

12 de julho de 2022: segunda fase de implantação

A segunda fase de implantação começa com a atualização do Windows lançada em 12 de julho de 2022. Essa fase remove a configuração PacRequestorEnforcement de 0. Configurar PacRequestorEnforcement como 0 após a instalação dessa atualização terá o mesmo efeito que configurar PacRequestorEnforcement como 1. Os DCs (controladores de domínio) estarão no modo de Implantação.

Observação Essa fase não será necessária se PacRequestorEnforcement nunca tiver sido configurado como 0 em seu ambiente. Essa fase ajuda a garantir que os clientes que definirem PacRequestorEnforcement como 0mudem para a configuração 1 antes da fase de Imposição.

Observação Essa atualização pressupõe que todos os controladores de domínio tenham sido atualizados com a atualização do Windows de 9 de novembro de 2021 ou posterior.

11 de outubro de 2022: fase de imposição - (Atualizado em 31/1/23)

A versão de 11 de outubro de 2022 fará a transição de todos os controladores de domínio do Active Directory para a fase de Imposição. A fase de Execução desativa a chave PacRequestorEnforcement e não a lê mais. Como resultado, os controladores de domínio do Windows que instalaram a atualização de 11 de outubro de 2022 não serão mais compatíveis com:

Controladores de domínio que não instalaram as atualizações de 9 de novembro de 2021 ou posteriores.
Controladores de domínio que instalaram as atualizações de 9 de novembro de 2021 ou posterior, mas ainda não instalaram a atualização de 12 de julho de 2022 e que têm um valor de registro PacRequestorEnforcement de 0.

No entanto, os controladores de domínio do Windows que instalaram a atualização de 11 de outubro de 2022 permanecerão compatíveis com:

Controladores de domínio do Windows que instalaram as atualizações de 11 de outubro de 2022 ou posteriores
Controladores de domínio do Windows que instalaram as atualizações de 9 de novembro de 2021 ou posteriores e têm um valor de 1 ou 2 paraPacRequestorEnforcement

Informações da chave do Registro

Depois da instalação das proteções do CVE-2021-42287 nas atualizações do Windows lançadas entre 9 de novembro de 2021 e 14 de junho de 2022, a seguinte chave do Registro estará disponível:

Subchave do Registro	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Valor	PacRequestorEnforcement
Tipo de dados	REG_DWORD
Dados	1: Adicione o novo PAC aos usuários que se autenticaram usando um controlador de domínio do Active Directory que tenha as atualizações de 9 de novembro de 2021 ou posteriores instaladas. Ao realizar a autenticação, se o usuário tiver o novo PAC, o PAC será validado. Se o usuário não tiver o novo PAC, nenhuma ação adicional será executada. Os controladores de domínio do Active Directory nesse modo estão na fase de Implantação. 2: Adicione o novo PAC aos usuários que se autenticaram usando um controlador de domínio do Active Directory que tenha as atualizações de 9 de novembro de 2021 ou posteriores instaladas. Ao realizar a autenticação, se o usuário tiver o novo PAC, o PAC será validado. Se o usuário não tiver o novo PAC, a autenticação será negada. Os controladores de domínio do Active Directory nesse modo estão na fase de Imposição. 0: Desabilita a chave do Registro. Não recomendado.Os controladores de domínio do Active Directory nesse modo estão na fase Desabilitado. Esse valor não existirá após as atualizações de 12 de julho de 2022 ou posteriores. Importante A configuração 0 não é compatível com a configuração 2. Poderão ocorrer falhas intermitentes se ambas as configurações forem usadas em uma floresta. Se a configuração 0 for usada, recomendamos que você faça a transição da configuração 0 (Desabilitar) para a configuração 1 (Implantação) por pelo menos uma semana antes de mudar para a configuração 2 (modo de Imposição).
Padrão	1 (quando a chave do Registro não está definida)
É necessário reiniciar?	Não

Eventos de Auditoria

A atualização do Windows de 9 de novembro de 2021 também adicionará novos logs de eventos.

PAC sem atributos

O KDC encontra um TGT sem o buffer de Atributo de PAC. É provável que o outro KDC nos logs não contenha a atualização ou esteja no modo Desabilitado.

Log de Eventos	Sistema
Tipo de Evento	Aviso
Origem do evento	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID de Evento	35
Texto do Evento	O KDC (Centro de Distribuição de Chaves) encontrou um TGT (tíquete de concessão de tíquete) de outro KDC (“<KDC Name>”) que não continha um campo de atributos de PAC.

Tíquete sem PAC

O KDC encontra um TGT ou outro tíquete de evidência sem um PAC. Isso impede que o KDC imponha verificações de segurança no tíquete.

Log de Eventos	Sistema
Tipo de Evento	Aviso durante a Fase de Implantação Erro durante a Fase de Imposição
Origem do evento	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID de Evento	36
Texto do Evento	O KDC (Centro de Distribuição de Chaves) encontrou um tíquete que não continha um PAC ao processar uma solicitação de outro tíquete. Isso impediu a execução de verificações de segurança e poderia gerar vulnerabilidades de segurança. Cliente: <Domain Name>\<User Name> Tíquete para: <Service Name>

Tíquete sem Solicitante

O KDC encontra um TGT ou outro tíquete de evidência sem o buffer de Solicitante do PAC. É provável que o KDC que criou o PAC não contenha a atualização ou esteja no modo Desabilitado.

Observação Consulte a seção Problemas conhecidos para obter informações importantes sobre o Evento 37.

Log de Eventos	Sistema
Tipo de Evento	Aviso durante a Fase de Implantação Erro durante a Fase de Imposição
Origem do evento	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID de Evento	37
Texto do Evento	O KDC (Centro de Distribuição de Chaves) encontrou um tíquete que não continha informações sobre a conta que solicitou o tíquete ao processar uma solicitação de outro tíquete. Isso impediu a execução de verificações de segurança e poderia gerar vulnerabilidades de segurança. Tíquete PAC criado por: <KDC Name> Cliente: <Domain Name>\<Client Name> Tíquete para: <Service Name>

Incompatibilidade de Solicitante

O KDC encontra um TGT ou outro tíquete de evidência, e a conta que solicitou o TGT ou o tíquete de evidência não corresponde à conta para a qual o tíquete de serviço foi criado.

Log de Eventos	Sistema
Tipo de Evento	Erro
Origem do evento	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID de Evento	38
Texto do Evento	O KDC (Centro de Distribuição de Chaves) encontrou um tíquete que continha informações inconsistentes sobre a conta que solicitou o tíquete. Isso pode significar que a conta foi renomeada desde que o tíquete foi emitido, o que pode ter sido parte de uma tentativa de exploração. Tíquete PAC criado por: <Kdc Name> Cliente: <Domain Name>\<User Name> Tíquete para: <Service Name> Solicitando SID de Conta do Active Directory: <SID> Solicitando SID de Conta do Tíquete: <SID>

Problemas conhecidos

Sintoma	Solução alternativa
Depois de instalar as atualizações do Windows lançadas em 9 de novembro de 2021 ou posteriores em DCs (controladores de domínio), alguns clientes podem ver o novo ID de evento de Auditoria 37 registrado após determinadas configurações de senha ou operações de alteração, como: Atualizar ou reparar o CNO ou VCO do cluster de failover Redefinir a senha de um usuário do console Usuários e Computadores do Active Directory (dsa.msc) Criar um novo usuário a partir do console Usuários e Computadores do Active Directory (dsa.msc) Alterar senha para dispositivos associados a domínio de terceiros Se você não vir o ID do Evento 37 após a instalação das atualizações do Windows lançadas em 9 de novembro de 2021 ou posteriormente por uma semana e o PacRequestorEnforcement for "1" ou "2", seu ambiente não será afetado. Se você definir PacRequestorEnforcement = 1, o ID do Evento 37 será registrado como um aviso, mas as solicitações de alteração de senha serão bem-sucedidas e não afetarão os usuários. Se você definir PacRequestorEnforcement = 2, as solicitações de alteração de senha falharão e farão com que as operações listadas acima também falhem.	Esse problema foi resolvido nas seguintes atualizações: Windows 11 - KB5011563 Windows Server 2022 - KB5011558 Windows 10, versão 20H2, Windows 10 versão 21H1 e Windows 10, versão 21H2 - KB5011543 Windows 10, versão 1809 e Windows Server 2019 - KB5011551 Windows 10, versão 1607 e Windows Server 2016 - KB5012596 Windows Server 2012 R2 - KB5012670 Windows Server 2012 - KB5012666 Windows Server 2008 R2 - KB5012649 Windows Server 2008 SP2 - KB5012632

Sintoma

Solução alternativa

Depois de instalar as atualizações do Windows lançadas em 9 de novembro de 2021 ou posteriores em DCs (controladores de domínio), alguns clientes podem ver o novo ID de evento de Auditoria 37 registrado após determinadas configurações de senha ou operações de alteração, como:

Atualizar ou reparar o CNO ou VCO do cluster de failover
Redefinir a senha de um usuário do console Usuários e Computadores do Active Directory (dsa.msc)
Criar um novo usuário a partir do console Usuários e Computadores do Active Directory (dsa.msc)
Alterar senha para dispositivos associados a domínio de terceiros

Se você não vir o ID do Evento 37 após a instalação das atualizações do Windows lançadas em 9 de novembro de 2021 ou posteriormente por uma semana e o PacRequestorEnforcement for "1" ou "2", seu ambiente não será afetado.

Se você definir PacRequestorEnforcement = 1, o ID do Evento 37 será registrado como um aviso, mas as solicitações de alteração de senha serão bem-sucedidas e não afetarão os usuários.

Se você definir PacRequestorEnforcement = 2, as solicitações de alteração de senha falharão e farão com que as operações listadas acima também falhem.

Esse problema foi resolvido nas seguintes atualizações:

Windows 11 - KB5011563
Windows Server 2022 - KB5011558
Windows 10, versão 20H2, Windows 10 versão 21H1 e Windows 10, versão 21H2 - KB5011543
Windows 10, versão 1809 e Windows Server 2019 - KB5011551
Windows 10, versão 1607 e Windows Server 2016 - KB5012596
Windows Server 2012 R2 - KB5012670
Windows Server 2012 - KB5012666
Windows Server 2008 R2 - KB5012649
Windows Server 2008 SP2 - KB5012632

Perguntas frequentes

P1. O que acontecerá se eu tiver uma mistura de controladores de domínio do Active Directory atualizados e não atualizados?

R1. Uma mistura de controladores de domínio atualizados e não atualizados, mas com o valor de 1 para a chave de Registro padrão PacRequestorEnforcement são compatíveis entre si. No entanto, a Microsoft recomenda expressamente que não sejam usados controladores de domínio atualizados e não atualizados em um ambiente.

P2. O que acontecerá se eu tiver uma mistura de controladores de domínio do Active Directory com vários valores de PacRequestorEnforcement?

R2. Em uma mistura de controladores de domínio com valores de 0 e 1 para PacRequestorEnforcement, eles são compatíveis entre si. Em uma mistura de controladores de domínio com valores de 1 e 2 para PacRequestorEnforcement, eles são compatíveis entre si. Em uma mistura de controladores de domínio com valores de 0 e 2 para PacRequestorEnforcement, eles não são compatíveis entre si, e podem ocorrer falhas intermitentes. Consulte a seção de informações sobre a chave do Registro para obter mais detalhes.