KB5004442 - gestionarea modificărilor pentru Ocolirea caracteristicilor de securitate Windows DCOM Server (CVE-2021-26414)

ACTUALIZAT 20 martie 2023 - secțiunea Disponibilitate

Rezumat

Protocolul la distanță DCOM este un protocol pentru expunerea obiectelor de aplicație utilizând apeluri de procedură la distanță (RPC-uri). DCOM este utilizat pentru comunicarea între componentele software ale dispozitivelor în rețea. Modificările de consolidare din DCOM au fost necesare pentru CVE-2021-26414. Prin urmare, vă recomandăm să verificați dacă aplicațiile client sau server din mediul dvs. care utilizează DCOM sau RPC funcționează așa cum vă așteptați, cu modificările de consolidare activate.

Notă Vă recomandăm ferm să instalați cea mai recentă actualizare de securitate disponibilă. Acestea oferă protecții avansate împotriva celor mai recente amenințări de securitate. De asemenea, oferă capacități pe care le-am adăugat pentru a sprijini migrarea. Pentru mai multe informații și context despre cum intarim DCOM, consultați Consolidarea autentificării DCOM: ce trebuie să știți.

Prima fază a actualizărilor DCOM a fost lansată pe 8 iunie 2021. În această actualizare, consolidarea DCOM a fost dezactivată în mod implicit. Le puteți activa modificând registry-ul așa cum este descris în secțiunea "Setarea de registry pentru a activa sau a dezactiva modificările de consolidare" de mai jos. A doua fază a actualizărilor DCOM a fost lansată pe 14 iunie 2022. Acest lucru a modificat întărirea la activată în mod implicit, dar a păstrat capacitatea de a dezactiva modificările utilizând setările cheii de registry. Faza finală a actualizărilor DCOM va fi lansată în martie 2023. Aceasta va menține activată consolidarea DCOM și va elimina capacitatea de a o dezactiva.

Cronologie

Lansare actualizare	Schimbare de comportament
8 iunie 2021	Faza 1 Lansare - Se întăresc modificările dezactivate în mod implicit, dar cu capacitatea de a le activa utilizând o cheie de registry.
14 iunie 2022	Faza 2 Lansare - Se întăresc modificările activate în mod implicit, dar cu capacitatea de a le dezactiva utilizând o cheie de registry.
14 martie 2023	Faza 3 Lansare - Se întăresc modificările activate în mod implicit, fără capacitatea de a le dezactiva. Până în acest punct, trebuie să rezolvați orice probleme de compatibilitate cu modificările de consolidare și aplicațiile din mediul dvs.

Testarea compatibilității cu consolidarea DCOM

Evenimente de eroare DCOM noi

Pentru a vă ajuta să identificați aplicațiile care ar putea avea probleme de compatibilitate după ce activăm modificările de consolidare a securității DCOM, am adăugat noi evenimente de eroare DCOM în jurnalul de sistem. Vedeți tabelele de mai jos. Sistemul va înregistra în jurnal aceste evenimente dacă detectează că o aplicație client DCOM încearcă să activeze un server DCOM utilizând un nivel de autentificare mai mic de RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Puteți să urmăriți dispozitivul client din jurnalul de evenimente pe partea server și să utilizați jurnale de evenimente pe partea client pentru a găsi aplicația.

Evenimente server - Indicați că serverul primește solicitări de nivel inferior

ID eveniment	Mesaj
10036	"Politica la nivel de autentificare pe partea server nu permite utilizatorului %1\%2 SID (%3) de la adresa %4 să activeze serverul DCOM. Ridicați nivelul de autentificare de activare cel puțin pentru a RPC_C_AUTHN_LEVEL_PKT_INTEGRITY în aplicația client." (%1 – domeniu, %2 – nume utilizator, %3 – SID utilizator, %4 – Adresă IP client)

ID eveniment

Mesaj

10036

"Politica la nivel de autentificare pe partea server nu permite utilizatorului %1\%2 SID (%3) de la adresa %4 să activeze serverul DCOM. Ridicați nivelul de autentificare de activare cel puțin pentru a RPC_C_AUTHN_LEVEL_PKT_INTEGRITY în aplicația client."

(%1 – domeniu, %2 – nume utilizator, %3 – SID utilizator, %4 – Adresă IP client)

Evenimente client - indică ce aplicație trimite solicitări de nivel inferior

ID eveniment	Mesaj
10037	"Aplicația %1 cu PID %2 solicită activarea CLSID %3 pe computerul %4 cu nivelul de autentificare setat explicit la %5. Cel mai mic nivel de autentificare de activare solicitat de DCOM este de 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Pentru a mări nivelul de autentificare de activare, contactați furnizorul aplicației."
10038	"Aplicația %1 cu PID %2 solicită activarea CLSID %3 pe computerul %4 cu nivelul implicit de autentificare de activare la %5. Cel mai mic nivel de autentificare de activare solicitat de DCOM este de 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Pentru a mări nivelul de autentificare de activare, contactați furnizorul aplicației." (%1 - Cale aplicație, %2 – PID aplicație, %3 – CLSID din clasa COM solicitată de aplicație pentru activare, %4 – Nume computer, %5 – Valoarea nivelului de autentificare)

ID eveniment

Mesaj

10037

"Aplicația %1 cu PID %2 solicită activarea CLSID %3 pe computerul %4 cu nivelul de autentificare setat explicit la %5. Cel mai mic nivel de autentificare de activare solicitat de DCOM este de 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Pentru a mări nivelul de autentificare de activare, contactați furnizorul aplicației."

10038

"Aplicația %1 cu PID %2 solicită activarea CLSID %3 pe computerul %4 cu nivelul implicit de autentificare de activare la %5. Cel mai mic nivel de autentificare de activare solicitat de DCOM este de 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Pentru a mări nivelul de autentificare de activare, contactați furnizorul aplicației."

(%1 - Cale aplicație, %2 – PID aplicație, %3 – CLSID din clasa COM solicitată de aplicație pentru activare, %4 – Nume computer, %5 – Valoarea nivelului de autentificare)

Disponibilitatea

Aceste evenimente de eroare sunt disponibile doar pentru un subset de versiuni Windows; vedeți tabelul de mai jos.

Versiune Windows	Disponibil la sau după aceste date
Windows Server 2022	27 septembrie 2021 KB5005619
Windows 10, versiunea 2004, Windows 10, versiunea 20H2, Windows 10, versiunea 21H1	1 septembrie 2021 KB5005101
Windows 10, versiunea 1909	26 august 2021 KB5005103
Windows Server 2019, Windows 10, versiunea 1809	26 august 2021 KB5005102
Windows Server 2016, Windows 10, versiunea 1607	14 septembrie, 2021 KB5005573
Windows Server 2012 R2 și Windows 8.1	12 octombrie 2021 KB5006714
Windows 11, versiunea 22H2	30 septembrie 2022 KB5017389

Corecție de elevare automată solicitare pe partea client

Nivel de autentificare pentru toate solicitările de activare nea anonime

Pentru a contribui la reducerea problemelor de compatibilitate a aplicațiilor, am ridicat automat nivelul de autentificare pentru toate solicitările de activare nea anonime de la clienții DCOM bazate pe Windows, pentru a RPC_C_AUTHN_LEVEL_PKT_INTEGRITY cel puțin. Cu această modificare, majoritatea solicitărilor client DCOM bazate pe Windows vor fi acceptate automat, cu modificările de consolidare DCOM activate pe partea server fără modificări suplimentare ale clientului DCOM. În plus, majoritatea clienților Windows DCOM vor funcționa automat cu modificările de consolidare DCOM pe partea de server, fără modificări suplimentare ale clientului DCOM.

Notă Această corecție va continua să fie inclusă în actualizările cumulative.

Corecție cronologie actualizare

De la lansarea inițială din noiembrie 2022, corecția de elevare automată a avut câteva actualizări.

Actualizare din noiembrie 2022
- Această actualizare a ridicat automat nivelul de autentificare de activare la integritatea pachetelor. Această modificare a fost dezactivată în mod implicit pe Windows Server 2016 și Windows Server 2019.
Actualizare din decembrie 2022
- Modificarea din noiembrie a fost activată în mod implicit pentru Windows Server 2016 și Windows Server 2019.
- Această actualizare a tratat, de asemenea, o problemă care afecta activarea anonimă pe Windows Server 2016 și Windows Server 2019.

Actualizare din ianuarie 2023
- Această actualizare a tratat o problemă care afecta activarea anonimă pe platforme de la Windows Server 2008 la Windows 10 (versiunea inițială lansată în iulie 2015).

Dacă ați instalat actualizările de securitate cumulative din ianuarie 2023 pe clienți și servere, acestea vor avea cea mai recentă corecție de elevare automată activată complet.

Setare de registry pentru a activa sau a dezactiva modificările de consolidare

În timpul fazelor de cronologie în care puteți activa sau dezactiva modificările de consolidare pentru CVE-2021-26414, puteți utiliza următoarea cheie de registry:

Cale: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
Nume valoare: "RequireIntegrityActivationAuthenticationLevel"
Tip: dword
Date valoare: implicit= 0x00000000 înseamnă dezactivat. 0x00000001 înseamnă activat. Dacă această valoare nu este definită, va fi implicit activată.

Notă Trebuie să introduceți Date valoare în format hexazecimal.

Important Trebuie să reporniți dispozitivul după ce setați această cheie de registry pentru ca aceasta să aibă efect.

Notă Activarea cheii de registry de mai sus va face serverele DCOM să impună o Authentication-Level de RPC_C_AUTHN_LEVEL_PKT_INTEGRITY sau mai recentă pentru activare. Acest lucru nu afectează activarea anonimă (activarea utilizând nivelul de autentificare RPC_C_AUTHN_LEVEL_NONE). Dacă serverul DCOM permite activarea anonimă, aceasta va fi în continuare permisă chiar și cu modificările de consolidare DCOM activate.

Notă Această valoare de registry nu există în mod implicit; trebuie să-l creați. Windows îl va citi dacă există și nu îl va suprascrie.

Notă Instalarea actualizărilor ulterioare nu va modifica și nu va elimina intrările și setările de registry existente.