Resumo
As atualizações de 11 de janeiro de 2022 do Windows e atualizações posteriores do Windows adicionam proteções para CVE-2022-21913.
Depois de instalar a encriptação AES (Advanced Encryption Standard) de 11 de janeiro de 2022, as atualizações do Windows ou atualizações posteriores do Windows serão definidas como o método de encriptação preferencial em clientes Windows quando utilizar o protocolo legado da Autoridade de Segurança Local (Política de Domínio) (MS-LSAD) para operações de palavra-passe de objeto de domínio fidedigno que são enviadas através de uma rede. Isto só se aplica se a encriptação AES for suportada pelo servidor. Se a encriptação AES não for suportada pelo servidor, o sistema permitirá a contingência para a encriptação RC4 legada.
As alterações no CVE-2022-21913 são específicas do protocolo MS-LSAD. São independentes de outros protocolos. O MS-LSAD utiliza o Protocolo SMB (Server Message Block) através da chamada de procedimento remoto
(RPC) e pipes nomeados. Embora o SMB também suporte encriptação, não está ativado por predefinição. Por predefinição, as alterações no CVE-2022-21913 estão ativadas e fornecem segurança adicional na camada LSAD. Não são necessárias alterações de configuração adicionais para além da instalação das proteções do CVE-2022-21913 incluídas nas atualizações do Windows de 11 de janeiro de 2022 e posteriores do Windows em todas as versões suportadas do Windows. As versões não suportadas do Windows devem ser descontinuadas ou atualizadas para uma versão suportada.
Nota: o CVE-2022-21913 modifica apenas a forma como as palavras-passe de confiança são encriptadas em trânsito quando utiliza APIs específicas do protocolo MS-LSAD e, especificamente, não modifica a forma como as palavras-passe são armazenadas inativamente. Para obter mais informações sobre como as palavras-passe são encriptadas inativamente no Active Directory e localmente na Base de Dados SAM (registo), veja Descrição geral técnica das palavras-passe.
Mais informações
Alterações feitas até 11 de janeiro de 2022, atualizações
Padrão de Objeto de Política
As atualizações modificam o padrão objeto de política do protocolo ao adicionar um novo método Open Policy que permite que o cliente e o servidor partilhem informações sobre o suporte do AES.
Método antigo com RC4 Novo método com a AES LsarOpenPolicy2 (Opnum 44) LsarOpenPolicy3 (Opnum 130) Para obter uma lista completa dos opnums do protocolo MS-LSAR, veja [MS-LSAD]: Eventos de Processamento de Mensagens e Regras de Sequenciação.
Padrão de Objeto de Domínio Fidedigno
As atualizações modificam o padrão De Criação de Objetos de Domínio Fidedignos do protocolo ao adicionar um novo método para criar uma fidedignidade que irá utilizar o AES para encriptar dados de autenticação.
A API LsaCreateTrustedDomainEx irá agora preferir o novo método se o cliente e o servidor forem atualizados e reverterem para o método mais antigo.Método antigo com RC4 Novo método com a AES LsarCreateTrustedDomainEx2 (Opnum 59) LsarCreateTrustedDomainEx3 (Opnum 129) As atualizações modificam o padrão Conjunto de Objetos de Domínio Fidedigno do protocolo ao adicionar duas novas Classes de Informações Fidedignas aos métodos LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). Pode definir as informações do Objeto de Domínio Fidedigno da seguinte forma.
Método antigo com RC4 Novo método com a AES LsarSetInformationTrustedDomain (Opnum 27) juntamente com TrustedDomainAuthInformationInternal ou TrustedDomainFullInformationInternal (contém uma palavra-passe de confiança encriptada que utiliza RC4) LsarSetInformationTrustedDomain (Opnum 27) juntamente com TrustedDomainAuthInformationInternalAes ou TrustedDomainFullInformationAes (contém uma palavra-passe de confiança encriptada que utiliza AES) LsarSetTrustedDomainInfoByName (Opnum 49) juntamente com TrustedDomainAuthInformationInternal ou TrustedDomainFullInformationInternal (contém uma palavra-passe de confiança encriptada que utiliza RC4 e todos os outros atributos) LsarSetTrustedDomainInfoByName (Opnum 49) juntamente com TrustedDomainAuthInformationInternalAes ou TrustedDomainFullInformationInternalAes (contém uma palavra-passe de confiança encriptada que utiliza AES e todos os outros atributos)
Como funciona o novo comportamento
O método LsarOpenPolicy2 existente é normalmente utilizado para abrir um identificador de contexto para o servidor RPC. Esta é a primeira função que tem de ser chamada para contactar a base de dados de Protocolo Remoto da Autoridade de Segurança Local (Política de Domínio). Depois de instalar estas atualizações, o método LsarOpenPolicy2 é substituído pelo novo método LsarOpenPolicy3.
Um cliente atualizado que chama a API LsaOpenPolicy irá agora chamar primeiro o método LsarOpenPolicy3. Se o servidor não for atualizado e não implementar o método LsarOpenPolicy3, o cliente reverterá para o método LsarOpenPolicy2 e utilizará os métodos anteriores que utilizam a encriptação RC4.
Um servidor atualizado devolverá um novo bit na resposta do método LsarOpenPolicy3, conforme definido no LSAPR_REVISION_INFO_V1. Para obter mais informações, veja as secções "Utilização de Cifras do AES" e "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" no MS-LSAD.
Se o servidor suportar AES, o cliente utilizará os novos métodos e novas classes de informações para operações subsequentes de "criar" e "definir" do domínio fidedigno. Se o servidor não devolver este sinalizador ou se o cliente não for atualizado, o cliente voltará a utilizar os métodos anteriores que utilizam a encriptação RC4.
Registo de eventos
As atualizações de 11 de janeiro de 2022 adicionam um novo evento ao registo de eventos de segurança para ajudar a identificar dispositivos que não são atualizados e para ajudar a melhorar a segurança.
| Value | Significado |
|---|---|
| Origem do evento | Microsoft-Windows-Security |
| ID de Evento | 6425 |
| Nível | Informações |
| Texto da mensagem de evento | Um cliente de rede utilizou um método RPC legado para modificar as informações de autenticação num objeto de domínio fidedigno. As informações de autenticação foram encriptadas com um algoritmo de encriptação legado. Considere atualizar o sistema operativo ou aplicação cliente para utilizar a versão mais recente e mais segura deste método. Domínio Fidedigno:
Nome do Método RPC: Para obter mais informações, aceda a https://go.microsoft.com/fwlink/?linkid=2161080. |
Perguntas Frequentes (FAQ)
T1: Que cenários acionam uma mudança para uma versão anterior da AES para a RC4?
A1: Uma mudança para uma versão anterior ocorre se o servidor ou o cliente não suportar AES.
P2: Como posso saber se a encriptação RC4 ou a encriptação AES foi negociada?
A2: Os servidores atualizados registarão o evento 6425 quando forem utilizados métodos legados que utilizam RC4.
T3: Posso exigir a encriptação AES no servidor e futuras atualizações do Windows serão aplicadas programaticamente com a AES?
A3: Atualmente, não existe nenhum modo de imposição disponível. No entanto, poderá haver no futuro, embora não esteja agendada qualquer alteração.
T4: Os clientes de terceiros suportam proteções para cVE-2022-21913 para negociar AES quando suportado pelo servidor? Devo contactar Suporte da Microsoft ou a equipa de suporte de terceiros para abordar esta questão?
A4: Se um dispositivo ou aplicação de terceiros não estiver a utilizar o protocolo MS-LSAD, isso não é importante. Os fornecedores de terceiros que implementam o protocolo MS-LSAD podem optar por implementar este protocolo. Para obter mais informações, contacte o fornecedor de terceiros.
T5: Tem de ser efetuada alguma alteração de configuração adicional?
A5: Não são necessárias alterações de configuração adicionais.
T6: O que utiliza este protocolo?
A6: O protocolo MS-LSAD é utilizado por muitos componentes do Windows, incluindo o Active Directory e ferramentas como a consola de Domínios e Fidedignidades do Active Directory. As aplicações também podem utilizar este protocolo através de APIs de biblioteca advapi32, como LsaOpenPolicy ou LsaCreateTrustedDomainEx.