Atualizado em 20/03/2024 – Referências de LDS adicionadas
Resumo
CVE-2021-42291 aborda uma vulnerabilidade de desvio de segurança que permite que determinados usuários definam valores arbitrários em atributos sensíveis à segurança de objetos específicos armazenados no Active Directory (AD) ou no Lightweight Directory Service (LDS). Para explorar essa vulnerabilidade, um usuário deve ter privilégios suficientes para criar um objeto derivado de computador, como um usuário com permissões CreateChild para objetos de computador. Esse usuário pode criar uma conta de computador usando uma chamada Adicionar do protocolo LDAP que permite o acesso excessivamente permissivo ao atributo securityDescriptor. Além disso, os criadores e os proprietários podem modificar os atributos sigilosos depois de criar uma conta. Isso pode ser aproveitado para executar uma elevação de privilégios em determinados cenários.
Observação O LDS registrará os eventos 3050, 3053, 3051 e 3054 sobre o status de acesso implícito a objetos, assim como o AD faz.
As mitigações no CVE-2021-42291 consistem em:
-
Verificação de autorização adicional quando usuários sem direitos de administrador de domínio ou LDS tentam executar uma operação Adicionar LDAP para um objeto derivado de computador. Isso inclui um modo de Auditoria por Padrão que audita quando essas tentativas ocorrem sem interferir na solicitação e um modo de Imposição que bloqueia tais tentativas.
-
Remoção temporária dos privilégios de proprietário implícito quando usuários sem direitos de administrador de domínio tentam uma operação Modificar do LDAP no atributo securityDescriptor. Ocorre uma verificação para confirmar se o usuário teria permissão para gravar o descritor de segurança sem privilégios de proprietário implícito. Isso também inclui um modo de Auditoria por Padrão que audita quando essas tentativas ocorrem sem interferir na solicitação e um modo de Imposição que bloqueia tais tentativas.
Tome medidas
Para proteger seu ambiente e evitar interrupções, conclua as seguintes etapas:
-
Atualize todos os dispositivos que hospedam a função de controlador de domínio do Active Directory ou de servidor LDS instalando as atualizações mais recentes do Windows. Os controladores de domínio que têm as atualizações de 9 de novembro de 2021 ou posteriores terão as alterações no Modo de auditoria por padrão.
-
Monitore o log de eventos do Serviço de Diretório ou LDS para detectar eventos 3044-3056 em controladores de domínio e servidores LDS que tenham as atualizações do Windows de 9 de novembro de 2021 ou posteriores. Os eventos registrados indicam que um usuário pode ter privilégios excessivos para criar contas de computador com atributos de segurança arbitrários. Relate qualquer cenário inesperado para a Microsoft usando um caso de Suporte Premier ou Unificado ou o Hub de Comentários. (Um exemplo desses eventos pode ser encontrado na seção Eventos Recém-Adicionados.)
-
Se o modo de Auditoria não detectar privilégios inesperados por um período suficiente, mude para o modo de Imposição para garantir que não ocorram resultados negativos. Relate qualquer cenário inesperado para a Microsoft usando um caso de Suporte Premier ou Unificado ou o Hub de Comentários.
Momento das atualizações do Windows
Essas atualizações do Windows serão lançadas em duas fases:
-
Implantação inicial: introdução da atualização, incluindo os modos de Auditoria por Padrão, Imposição ou Desabilitar configuráveis usando o atributo dSHeuristics.
-
Implantação final – Imposição Por Padrão.
9 de novembro de 2021: fase inicial de implantação
A fase inicial de implantação começa com a atualização do Windows lançada em 9 de novembro de 2021. Essa versão adiciona a auditoria de permissões definidas por usuários sem direitos de administrador de domínio durante a criação ou a modificação de um computador ou objetos derivados de computador. Também adiciona um modo de Imposição e Desabilitar. Você pode definir o modo globalmente para cada floresta do Active Directory usando o atributo dSHeuristics.
(Atualizado em 15/12/2023) Fase final de implantação
A fase final de implantação pode começar depois que você concluir as etapas listadas na seção Executar Ação. Para migrar para o Modo de Imposição, siga as instruções na seção Diretrizes de Implantação para definir 28º e 29º bits no atributo dSHeuristics . Em seguida, monitore os eventos 3044-3046. Eles relatam quando o Modo de Imposição bloqueou uma operação de adição ou modificação de LDAP que poderia ter sido permitida anteriormente no Modo de auditoria.
Diretrizes de implantação
Definir informações de configuração
Após a instalação do CVE-2021-42291, os caracteres 28 e 29 do atributo dSHeuristics controlam o comportamento da atualização. O atributo dSHeuristics existe em cada floresta do Active Directory e contém configurações para toda a floresta. O atributo dSHeuristics é um atributo do objeto "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD ) or "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS). Consulte o dSHeuristics 6.1.1.2.4.1.2 e atributo DS-Heuristics para obter mais informações.
Caractere 28: verificações adicionais de AuthZ para operações LDAP de Adição
0: o modo de Auditoria por Padrão está habilitado. Um evento é registrado quando usuários sem direitos de administrador de domínio definem securityDescriptor ou outros atributos com valores que podem conceder permissões excessivas, potencialmente permitindo exploração futura, em novos objetos AD derivados de computador.
1: o modo de Imposição está habilitado. Isso evita que usuários sem direitos de administrador de domínio configurem securityDescriptor ou outros atributos para valores que possam conceder permissões excessivas em objetos AD derivados de computador. Um evento também é registrado quando isso ocorre.
2: desabilita a auditoria atualizada e não impõe a segurança adicionada. Não recomendado.
Exemplo: Se você não tinha outras configurações de dSHeuristics ativadas na floresta e deseja mudar para o modo de Imposição para verificação de AuthZ adicional, o atributo dSHeuristics deve ser definido como:
“0000000001000000000200000001”
Os caracteres definidos neste caso são:
10º caractere : deve ser definido como 1 se o atributo dSHeuristics tiver pelo menos 10 caracteres
20º caractere: deve ser definido como 2 se o atributo dSHeuristics tiver pelo menos 20 caracteres
28º caractere: deve ser definido como 1 para habilitar o modo de Imposição para verificação de AuthZ Adicional
Caractere 29: remoção temporária de Proprietário Implícito para operações LDAP de Modificação
0: o modo de Auditoria por Padrão está habilitado. Um evento é registrado quando usuários sem direitos de administrador de domínio definem securityDescriptor com valores que podem conceder permissões excessivas, potencialmente permitindo exploração futura, em objetos AD derivados de computador existentes.
1: o modo de Imposição está habilitado. Isso evita que usuários sem direitos de administrador de domínio configurem securityDescriptor para valores que possam conceder permissões excessivas em objetos AD derivados de computador existentes. Um evento também é registrado quando isso ocorre.
2:desabilita a auditoria atualizada e não impõe a segurança adicionada. Não recomendado.
Exemplo: Se você tinha apenas o sinalizador dsHeuristics de verificações de AuthZ adicional definido na floresta e deseja mudar para o modo de Imposição para remoção temporária de propriedade implícita, o atributo dSHeuristics deve ser definido como:
“00000000010000000002000000011”
Os caracteres definidos neste caso são:
10º caractere: deve ser definido como 1 se o atributo dSHeuristics tiver pelo menos 10 caracteres
20º caractere: deve ser definido como 2 se o atributo dSHeuristics tiver pelo menos 20 caracteres
28º caractere: deve ser definido como 1 para habilitar o modo de Imposição para verificação de AuthZ Adicional
29º caractere: deve ser definido como 1 para habilitar o modo de Imposição para remoção temporária de Propriedade Implícita
Eventos recém-adicionados
A atualização do Windows de 9 de novembro de 2021 também adicionará novos logs de eventos.
Eventos de alteração de modo: verificação de AuthZ adicional para operações Adicionar do LDAP
Eventos que ocorrem quando o bit 28 do atributo dSHeuristics é alterado, o que altera o modo das verificações de AuthZ Adicionais para a parte de operações LDAP de Adição da atualização.
|
Log de Eventos |
Serviços de Diretório |
|
Tipo de Evento |
Informacional |
|
ID de Evento |
3050 |
|
Texto do Evento |
O diretório foi configurado para impor a autorização por atributo durante as operações adicionar do LDAP. Essa é a configuração mais segura, e nenhuma ação adicional é necessária. |
|
Log de Eventos |
Serviços de Diretório |
|
Tipo de Evento |
Aviso |
|
ID de Evento |
3051 |
|
Texto do Evento |
O diretório foi configurado para não impor a autorização por atributo durante as operações adicionar do LDAP. Eventos de aviso serão registrados, mas nenhuma solicitação será bloqueada. Essa configuração não é segura e deve ser usada apenas como uma etapa de solução de problemas temporária. Examine as mitigações sugeridas no link abaixo. |
|
Log de Eventos |
Serviços de Diretório |
|
Tipo de Evento |
Erro |
|
ID de Evento |
3052 |
|
Texto do Evento |
O diretório foi configurado para não impor a autorização por atributo durante as operações adicionar do LDAP. Nenhum evento será registrado, e nenhuma solicitação será bloqueada. Essa configuração não é segura e deve ser usada apenas como uma etapa de solução de problemas temporária. Examine as mitigações sugeridas no link abaixo. |
Eventos de Alteração de Modo: remoção temporária dos direitos de Proprietário Implícito
Eventos que ocorrem quando o bit 29 do atributo dSHeuristics é alterado, o que altera o modo de remoção temporária da parte dos direitos de Proprietário Implícito da atualização.
|
Log de Eventos |
Serviços de Diretório |
|
Tipo de Evento |
Informacional |
|
ID de Evento |
3053 |
|
Texto do Evento |
O diretório foi configurado para bloquear privilégios de proprietário implícito ao definir ou modificar inicialmente o atributo nTSecurityDescriptor durante as operações adicionar e modificar do LDAP. Essa é a configuração mais segura, e nenhuma ação adicional é necessária. |
|
Log de Eventos |
Serviços de Diretório |
|
Tipo de Evento |
Aviso |
|
ID de Evento |
3054 |
|
Texto do Evento |
O diretório foi configurado para permitir privilégios de proprietário implícito ao definir ou modificar inicialmente o atributo nTSecurityDescriptor durante as operações adicionar e modificar do LDAP. Eventos de aviso serão registrados, mas nenhuma solicitação será bloqueada. Essa configuração não é segura e deve ser usada apenas como uma etapa de solução de problemas temporária. |
|
Log de Eventos |
Serviços de Diretório |
|
Tipo de Evento |
Erro |
|
ID de Evento |
3055 |
|
Texto do Evento |
O diretório foi configurado para permitir privilégios de proprietário implícito ao definir ou modificar inicialmente o atributo nTSecurityDescriptor durante as operações adicionar e modificar do LDAP. Nenhum evento será registrado, e nenhuma solicitação será bloqueada. Essa configuração não é segura e deve ser usada apenas como uma etapa de solução de problemas temporária. |
Eventos de modo de Auditoria
Eventos que ocorrem no modo de Auditoria para registrar possíveis problemas de segurança em uma operação Adicionar ou Modificar do LDAP.
|
Log de Eventos |
Serviços de Diretório |
|
Tipo de Evento |
Aviso |
|
ID de Evento |
3047 |
|
Texto do Evento |
O serviço de diretório detectou uma solicitação adicionar do LDAP para o objeto a seguir que, normalmente, teria sido bloqueado pelos motivos de segurança a seguir. O cliente não tinha permissão para gravar um ou mais atributos incluídos na solicitação adicionar, com base no descritor de segurança mesclado padrão. A solicitação foi autorizada a prosseguir porque o diretório está atualmente configurado no modo somente de auditoria para essa verificação de segurança. DN do objeto: <created object’s DN> Classe do objeto: <created object’s objectClass> Usuário: <user who attempted the LDAP add> Endereço IP do Cliente: <the IP of the requestor> Desc. de segurança: <the SD that was attempted> |
|
Log de Eventos |
Serviços de Diretório |
|
Tipo de Evento |
Aviso |
|
ID de Evento |
3048 |
|
Texto do Evento |
O serviço de diretório detectou uma solicitação adicionar do LDAP para o objeto a seguir que, normalmente, teria sido bloqueado pelos motivos de segurança a seguir. O cliente incluiu um atributo nTSecurityDescriptor na solicitação adicionar, mas não tinha permissão explícita para gravar uma ou mais partes do novo descritor de segurança, com base no descritor de segurança mesclado padrão. A solicitação foi autorizada a prosseguir porque o diretório está atualmente configurado no modo somente de auditoria para essa verificação de segurança. DN do objeto: <created object’s DN> Classe do objeto: <created object’s objectClass> Usuário: <user who attempted the LDAP add> Endereço IP do Cliente: <the IP of the requestor> |
|
Log de Eventos |
Serviços de Diretório |
|
Tipo de Evento |
Aviso |
|
ID de Evento |
3049 |
|
Texto do Evento |
O serviço de diretório detectou uma solicitação modificar do LDAP para o objeto a seguir que, normalmente, teria sido bloqueado pelos motivos de segurança a seguir. O cliente incluiu um atributo nTSecurityDescriptor na solicitação adicionar, mas não tinha permissão explícita para gravar uma ou mais partes do novo descritor de segurança, com base no descritor de segurança mesclado padrão. A solicitação foi autorizada a prosseguir porque o diretório está atualmente configurado no modo somente de auditoria para essa verificação de segurança. DN do objeto: <created object’s DN> Classe do objeto: <created object’s objectClass> Usuário: <user who attempted the LDAP add> Endereço IP do Cliente: <the IP of the requestor> |
|
Log de Eventos |
Serviços de Diretório |
|
Tipo de Evento |
Aviso |
|
ID de Evento |
3056 |
|
Texto do Evento |
O serviço de diretório processou uma consulta para o atributo sdRightsEffective no objeto especificado abaixo. A máscara de acesso retornada incluiu WRITE_DAC, mas apenas porque o diretório foi configurado para permitir privilégios de proprietário implícito, o que não é uma configuração segura. DN do objeto: <created object’s DN> Usuário: <user who attempted the LDAP add> Endereço IP do Cliente: <the IP of the requestor> |
Modo de Imposição: falhas de adicionar do LDAP
Eventos que ocorrem quando uma operação Adicionar do LDAP é negada.
|
Log de Eventos |
Serviços de Diretório |
|
Tipo de Evento |
Aviso |
|
ID de Evento |
3044 |
|
Texto do Evento |
O serviço de diretório negou uma solicitação de adicionar do LDAP para o objeto a seguir. A solicitação foi negada porque o cliente não tinha permissão para gravar um ou mais atributos incluídos na solicitação adicionar, com base no descritor de segurança mesclado padrão. DN do objeto: <created object’s DN> Classe do objeto: <created object’s objectClass> Usuário: <user who attempted the LDAP add> Endereço IP do Cliente: <the IP of the requestor> Desc. de segurança: <the SD that was attempted> |
|
Log de Eventos |
Serviços de Diretório |
|
Tipo de Evento |
Aviso |
|
ID de Evento |
3045 |
|
Texto do Evento |
O serviço de diretório negou uma solicitação de adicionar do LDAP para o objeto a seguir. A solicitação foi negada porque o cliente incluiu um atributo nTSecurityDescriptor na solicitação adicionar, mas não tinha permissão explícita para gravar uma ou mais partes do novo descritor de segurança, com base no descritor de segurança mesclado padrão. DN do objeto: <created object’s DN> Classe do objeto: <created object’s objectClass> Usuário: <user who attempted the LDAP add> Endereço IP do Cliente: <the IP of the requestor> |
Modo de Imposição: falhas de Modificar do LDAP
Eventos que ocorrem quando uma operação Modificar do LDAP é negada.
|
Log de Eventos |
Serviços de Diretório |
|
Tipo de Evento |
Aviso |
|
ID de Evento |
3046 |
|
Texto do Evento |
O serviço de diretório negou uma solicitação de modificar do LDAP para o objeto a seguir. A solicitação foi negada porque o cliente incluiu um atributo nTSecurityDescriptor na solicitação modificar, mas não tinha permissão explícita para gravar uma ou mais partes do novo descritor de segurança, com base no descritor de segurança existente do objeto. DN do objeto: <created object’s DN> Classe do objeto: <created object’s objectClass> Usuário: <user who attempted the LDAP add> Endereço IP do Cliente: <the IP of the requestor> |
Perguntas frequentes
P1. O que acontecerá se eu tiver uma mistura de controladores de domínio do Active Directory atualizados e não atualizados?
R1 Os controladores de domínio que não forem atualizados não registrarão eventos relacionados a essa vulnerabilidade.
P2. O que preciso fazer para RODCs (controladores de domínio somente leitura)?
R2 Nada. As operações Adicionar e Modificar do LDAP não podem direcionar RODCs.
P3. Tenho um produto ou processo de terceiros que falha após a habilitação do modo de Imposição. Preciso conceder direitos de administrador de domínio ao serviço ou ao usuário?
R3 Geralmente, não recomendamos adicionar um serviço ou usuário ao grupo Administradores de Domínio como a primeira solução para esse problema. Examine os logs de eventos para ver quais permissões específicas são necessárias e considere delegar direitos limitados apropriadamente ao usuário em uma unidade organizacional separada designada para esse propósito.
Q4 vejo os eventos de auditoria também para servidores LDS. Por que isso está acontecendo?
A4 Todas as opções acima também se aplicam AD LDS, embora seja muito incomum ter objetos de computador no LDS. As etapas de mitigação também devem ser tomadas para habilitar a proteção do AD LDS quando o Modo de auditoria não detectar privilégios inesperados.
