Resumo
As atualizações de 11 de janeiro de 2022 do Windows e atualizações posteriores do Windows adicionam proteções para CVE-2022-21913.
Depois de instalar as atualizações do Windows de 11 de janeiro de 2022 ou atualizações posteriores, a criptografia AES (Padrão de Criptografia Avançado) será definida como o método de criptografia preferencial em clientes Windows quando usar o protocolo MS-LSAD (Autoridade de Segurança Local) herdada (Política de Domínio) para operações de senha de objeto de domínio confiável que são enviadas por uma rede. Isso se aplica somente se a criptografia AES for suportada pelo servidor. Se a criptografia AES não for suportada pelo servidor, o sistema permitirá o fallback para o legado Criptografia RC4.
Alterações na lista CVE-2022-21913 são específicas para o protocolo MS-LSAD. Elas são independentes de outros protocolos. O MS-LSAD usa o protocolo SMB (Bloco de Mensagem de Servidor) sobre RPC
(chamada de procedimento remoto) e pipes nomeados. Embora o SMB também dê suporte a criptografia, ele não é habilitado por padrão. Por padrão, as alterações na CVE-2022-21913 são habilitadas e fornecem segurança adicional na camada LSAD. Nenhuma alteração adicional de configuração é necessária além da instalação das proteções para a CVE-2022-21913 incluídas nas atualizações do Windows de 11 de janeiro de 2022 ou atualizações posteriores em todas as versões com suporte do Windows. As versões sem suporte do Windows devem ser descontinuadas ou atualizadas para uma versão com suporte.
ObservaçãoA CVE-2022-21913 modifica apenas como as senhas são criptografadas em trânsito ao serem usadas APIs específicas do protocolo MS-LSAD e especificamente, não modifica como as senhas são armazenadas em repouso. Para obter mais informações sobre como as senhas são criptografadas em repouso no Active Directory e localmente no Banco de Dados SAM (Registro), consulte Visão geral técnica das senhas.
Mais informações
Alterações feitas pelas atualizações de 11 de janeiro de 2022
-
Padrão de objeto de política
As atualizações modificam o padrão de objeto de política do protocolo adicionando um novo método de política aberta que permite que o cliente e o servidor compartilhem informações sobre o suporte AES.Método antigo com RC4
Novo método com o AES
LsarOpenPolicy2 (Opnum 44)
LsarOpenPolicy3 (Opnum 130)
Para ver a lista completa de OpNums de protocolo MS-LSAR, consulte [MS-LSAD]: Eventos de processamento de mensagens e regras de sequenciamento.
-
Padrão de objeto de domínio confiável
As atualizações modificam o padrão da criação de objeto de domínio confiável do protocolo adicionando um novo método para criar uma relação de confiança que usará o AES para criptografar os dados de autenticação.
A API LsaCreateTrustedDomainEx agora preferirá o novo método se o cliente e o servidor forem atualizados e, caso contrário, retornarão ao método antigo.
Método antigo com RC4
Novo método com o AES
LsarCreateTrustedDomainEx2 (Opnum 59)
LsarCreateTrustedDomainEx3 (Opnum 129)
As atualizações modificam o padrão Conjunto de Objetos de Domínio Confiável do protocolo adicionando duas novas Classes de Informações Confiáveis aos métodos LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). Você pode definir as informações de objeto de domínio confiável da forma a seguir.
Método antigo com RC4
Novo método com o AES
LsarSetInformationTrustedDomain (Opnum 27) juntamente com TrustedDomainAuthInformationInternal ou TrustedDomainFullInformationInternal (contém uma senha de confiança criptografada que usa RC4)
LsarSetInformationTrustedDomain (Opnum 27) junto com TrustedDomainAuthInformationInternalAes ou TrustedDomainFullInformationAes (contém uma senha de confiança criptografada que usa AES)
LsarSetTrustedDomainInfoByName (Opnum 49) juntamente com TrustedDomainAuthInformationInternal ou TrustedDomainFullInformationInternal (contém uma senha de confiança criptografada que usa RC4 e todos os outros atributos)
LsarSetTrustedDomainInfoByName (Opnum 49) junto com TrustedDomainAuthInformationInternalAes ou TrustedDomainFullInformationInternalAes (contém uma senha de confiança criptografada que usa AES e todos os outros atributos)
Como o novo comportamento funciona
O método LsarOpenPolicy2 existente normalmente é usado para abrir um identificador de contexto para o servidor RPC. Esta é a primeira função que deve ser chamada para contactar o banco de dados do Protocolo Remoto da Autoridade de Segurança Local (Política de Domínio). Depois de instalar essas atualizações, o método LsarOpenPolicy2 é substituído pelo novo método LsarOpenPolicy3.
Um cliente atualizado que chama a API LsaOpenPolicy agora chamará primeiro o método LsarOpenPolicy3. Se o servidor não for atualizado e não implementar o método LsarOpenPolicy3, o cliente retornará ao método LsarOpenPolicy2 e usará os métodos anteriores que usam a criptografia RC4.
Um servidor atualizado agora retornará um novo bit na resposta do método LsarOpenPolicy3, conforme definido em LSAPR_REVISION_INFO_V1. Para obter mais informações, consulte as seções "uso de criptografia AES" e "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" em MS-LSAD.
Se o servidor atualizado der suporte a AES, o cliente usará novos métodos e novas classes de informações para operações "criar" e "definir" subsequentes de domínio confiável. Se o servidor não retornar esse sinalizador ou se o cliente não estiver atualizado, o cliente retornará ao uso de métodos anteriores com criptografia RC4.
Log de eventos
As atualizações de 11 de janeiro de 2022 adicionam um novo evento ao log de evento de segurança para ajudar a identificar dispositivos que não estão atualizados e ajudam a melhorar a segurança.
|
Valor |
Significado |
|---|---|
|
Origem do evento |
Segurança-Microsoft-Windows |
|
ID de Evento |
6425 |
|
Nível |
Informações |
|
Texto da mensagem do evento |
Um cliente de rede usou um método RPC herdado para modificar as informações de autenticação em um objeto de domínio confiável. As informações de autenticação foram criptografadas com um algoritmo de criptografia herdado. Considere atualizar o sistema operacional cliente ou o aplicativo para usar a versão mais recente e mais segura desse método. Domínio confiável:
Modificado por:
Endereço de rede do cliente: Para obter mais informações, acesse: https://go.microsoft.com/fwlink/?linkid=2161080 |
Perguntas frequentes
P1: Quais cenários disparam o downgrade do AES para o RC4?
R1: O downgrade acontece quando o servidor ou o cliente não dá suporte a AES.
P2: Como saber se a criptografia RC4 ou a criptografia AES foi negociada?
R2: Os servidores atualizados registrarão eventos 6425 quando métodos herdados com RC4 forem usados.
P3: Posso exigir criptografia AES no servidor e futuras atualizações Windows imporão programaticamente o uso de AES?
R3: No momento, não há modo de imposição disponível. No entanto, pode haver no futuro, embora tal mudança não esteja prevista.
P4: Os clientes de terceiros dão suporte a proteções para CVE-2022-21913 para negociar AES quando há suporte no servidor? Devo entrar em contato com o Suporte da Microsoft ou com a equipe de suporte de terceiros para resolver essa questão?
R4: Se um dispositivo de terceiros não estiver usando o protocolo MS-LSAD, isso não será importante. Fornecedores de terceiros que implementam o protocolo MS-LSAD podem optar por implementá-lo. Para obter mais informações, entre em contato com o fornecedor de terceiros.
P5: É preciso fazer alterações adicionais de configuração?
R5: Nenhuma alteração de configuração adicional é necessária.
P6: O que usa esse protocolo?
A6: O protocolo MS-LSAD é usado por muitos componentes do Windows, incluindo o Active Directory e ferramentas como o console de Domínios e Confianças do Active Directory. Os aplicativos também podem usar esse protocolo por meio de APIs da biblioteca advapi32, como LsaOpenPolicy ou LsaCreateTrustedDomainEx.
