Сводка
Корпорация Майкрософт выпустила обновление Windows для устранения уязвимости атаки на воспроизведение маркеров в службы федерации Active Directory (AD FS) (AD FS), как описано в разделе CVE-2023-35348. Это обновление устанавливается обновлениями Windows, выпущенными 11 июля 2023 г. или позже. По умолчанию это обновление установлено отключено. Чтобы включить обновление, необходимо настроить параметр EnforceNonceInJWT .
Дополнительные сведения
Это обновление вводит новый параметр для включения проверки Nonce из утверждения JSON Web Token (JWT) во время проверки подлинности пользователя JWT.
В этой статье описывается включение параметра и приводятся сведения о событиях, зарегистрированных на серверах AD FS, для поддерживаемых значений параметра.
Параметр EnforceNonceInJWT
Администратор на сервере ADFS может настроить принудительное выполнениеNonceInJWT в одном из следующих режимов:
-
Нет (значение по умолчанию). Используется для отслеживания изменения значения параметра EnforceNonceInJWT . Это значение может быть не задано администратором. Сервер ADFS проверяет nonce только в том случае, если он присутствует в утверждении JWT, но не применяет его наличие.
-
Отключен: Это значение можно задать, чтобы отключить исправление, если возникли проблемы со значением по умолчанию или после его включения.
-
Включен: Включает параметр EnforceNonceInJWT . Сервер ADFS принудительно указывает, что Nonce присутствует в утверждении JWT, и он также действителен при выполнении определенных условий.
Режимы EnforceNonceInJWT могут быть изменены администратором на сервере AD FS с помощью следующих команд PowerShell:
-
Включите EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT enabled -
Отключить EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Отключено -
Проверьте состояние параметра EnforceNonceInJWT:
Администратор может запустить Get-AdfsProperties, чтобы проверка текущий параметр EnforceNonceInJWT. Возвращаемое значение EnforceNonceInJWT будет соответствовать настроенному режиму.
События, зарегистрированные в журнале
Следующие события могут быть зарегистрированы на сервере AD FS после установки обновлений Windows, выпущенных 11 июля 2023 г. или позже:
Примечание Событие 187 регистрируется каждый раз, когда сервер AD FS получает запрос, не содержащий Nonce в утверждении JWT, а параметр EnforceNonceInJWT имеет значение None или Disabled.
Источник: AD FS
Уровень: Предупреждение
Идентификатор: 187
Сообщение: Сервер AD FS получил токен JWT без nonce в утверждении, и он был принят на основе текущего параметра конфигурации EnforceNonceInJWT. Однако это указывает на потенциальное воспроизведение маркера JWT вредоносным клиентом или возможность того, что клиент не будет исправлен с помощью последних Обновления Windows. Обязательно обновите параметр EnforceNonceInJWT, чтобы отклонить все такие маркеры JWT после установки исправлений для клиентов с последними Обновления Windows. Дополнительные сведения об этом см. в разделе https://go.microsoft.com/fwlink/?linkid=2238156.
Примечание Событие 188 регистрируется при каждом запуске службы AD FS, когда параметр EnforceNonceInJWT имеет значение None или Disabled.
Источник: AD FS
Уровень: Ошибка
Идентификатор: 188
Сообщение: Сервер AD FS не настроен для отклонения маркеров JWT, которые не имели nonce в утверждении. Соответствующий параметр (EnforceNonceInJWT) должен быть включен по соображениям безопасности после установки исправлений для всех клиентов с помощью последней Обновления Windows. Событие 187 указывает на экземпляры, в которых AD FS получили такие маркеры и приняли их из-за текущего параметра EnforceNonceInJWT. Дополнительные сведения об этом см. в разделе https://go.microsoft.com/fwlink/?linkid=2238156.
Принять меры
Установите обновления Windows, выпущенные 11 июля 2023 г. или позже, на всех серверах AD FS фермы. Затем включите параметр, выполнив следующую команду PowerShell на основном сервере AD FS фермы:
Set-AdfsProperties с поддержкой EnforceNonceInJWT
Важно! В некоторых сценариях могут возникать сбои проверки подлинности, если клиенты не обновляются и отправляют запросы на проверку подлинности JWT на сервер AD FS. В таких случаях рекомендуется обновить все клиенты, установив обновление Windows, выпущенное 11 июля 2023 г. или позже. Кроме того, администратор может отключить параметр EnforceNonceInJWT и отслеживать серверы AD FS для ведения журнала события 187, чтобы определить потенциальные запросы, которые могут быть отклонены, если параметр EnforceNonceInJWT имеет значение Включено. После подтверждения отсутствия события 187 на серверах AD FS в течение определенного периода времени параметр EnforceNonceInJWT необходимо обновить на Включено.