KB5008380 – aktualizácie overovania (CVE-2021-42287)

Zhrnutie

CVE-2021-42287 rieši chybu obídenia zabezpečenia, ktorá ovplyvňuje certifikát PAC (Privilege Attribute Certificate) protokolu Kerberos a umožňuje potenciálnym útočníkom zosobňovať radiče domény. Ak chcete využiť túto zraniteľnosť, zneužité konto domény môže spôsobiť, že Centrum distribúcie kľúčov (KDC) vytvorí lístok služby s vyššou úrovňou oprávnení ako úroveň zneužitého konta. Dosiahne to tak, že zabráni KDC identifikovať konto, pre ktoré je lístok služby s vyššími oprávneniami určený.

Vylepšený proces overovania v CVE-2021-42287 pridá nové informácie o pôvodnom žiadateľovi do PACs protokolu Kerberos Ticket-Granting Tickets (TGT). Keď sa neskôr vygeneruje žiadosť o službu Kerberos pre konto, nový proces overovania overí, či je konto, ktoré požadovalo TGT, rovnaké konto, na ktoré sa odkazuje v žiadosti o službu.

Po inštalácii aktualizácií Windowsu z 9. novembra 2021 alebo novšej sa pacs pridá do TGT všetkých doménových kont, dokonca aj tých, ktoré sa predtým rozhodli odmietnuť pacs.

Vykonanie akcie

Ak chcete chrániť svoje prostredie a vyhnúť sa výpadkom, vykonajte tieto kroky:

Aktualizujte všetky zariadenia, ktoré sú hostiteľmi roly radiča domény služby Active Directory, inštaláciou aktualizácie zabezpečenia z 9. novembra 2021 a aktualizácie mimo pása (OOB) zo 14. novembra 2021. Nižšie nájdete číslo databázy KB OOB pre konkrétny operačný systém.

OS	Číslo KB
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Po inštalácii aktualizácie zabezpečenia z 9. novembra 2021 a aktualizácie OOB zo 14. novembra 2021 na všetkých radičoch domén služby Active Directory minimálne 7 dní dôrazne odporúčame zapnúť režim vynútenia vo všetkých radičoch domény služby Active Directory.
Počnúc (aktualizovanou) aktualizáciou fázy presadzovania z 11. októbra 2022 bude režim presadzovania povolený vo všetkých radičoch domény systému Windows a bude potrebný.

Časovanie aktualizácií Windowsu – (aktualizované 31. 1. 23)

Tieto Aktualizácie windowsu budú vydané v troch fázach:

Počiatočné nasadenie – úvodné informácie o aktualizácii, ako aj kľúč databázy Registry PacRequestorEnforcement
Druhé nasadenie – odstránenie hodnoty 0 PacRequestorEnforcement (možnosť zakázať kľúč databázy Registry)
Fáza presadzovania – režim presadzovania je povolený. Táto fáza ukočuje kľúč PacRequestorEnforcement a už ho neprečíta

9. novembra 2021: Počiatočná fáza nasadenia

Počiatočná fáza nasadenia sa začína aktualizáciou windowsu vydanou 9. novembra 2021. Toto vydanie:

Zvyšuje ochranu pred CVE-2021-42287
Pridá podporu pre hodnotu databázy Registry PacRequestorEnforcement , ktorá umožňuje včas prejsť do fázy presadzovania.

Zmiernenie sa skladá z inštalácie aktualizácií Windowsu vo všetkých zariadeniach, ktoré hosťujú rolu radiča domény a radiče domény určené iba na čítanie.

12. júla 2022: Druhá fáza nasadenia

Druhá fáza nasadenia sa začína aktualizáciou Windowsu vydanou 12. júla 2022. Táto fáza odstráni nastavenie PacRequestorEnforcement hodnoty 0. Nastavenie PacRequestorEnforcement na hodnotu 0 po nainštalovaní tejto aktualizácie bude mať rovnaký účinok ako nastavenie PacRequestorEnforcement na hodnotu 1. Radiče domény (DCs) budú v režime nasadenia.

Poznámka Táto fáza nie je potrebná, ak pacRequestorEnforcement nikdy nebola nastavená na hodnotu 0 vo vašom prostredí. Táto fáza pomáha zabezpečiť, aby zákazníci, ktorí nastavia PacRequestorEnforcement na hodnotu 0, prešli na nastavenie 1 pred fázou vynútenia.

Poznámka Táto aktualizácia predpokladá, že všetky radiče domény sa aktualizujú aktualizáciou Windowsu z 9. novembra 2021 alebo novšej.

11. októbra 2022: Fáza presadzovania – (aktualizované 31. 1. 2023)

Vydanie z 11. októbra 2022 premieňuje všetky radiče domény služby Active Directory do fázy presadzovania. Fáza presadzovania zavrhuje kľúč PacRequestorEnforcement a už ho neprečíta. V dôsledku toho radiče domény systému Windows, ktoré nainštalovali aktualizáciu z 11. októbra 2022, už nebudú kompatibilné s:

Radiče domény, ktoré nenainštalovali aktualizácie z 9. novembra 2021 alebo novšie.
Radiče domény, ktoré nainštalovali aktualizácie z 9. novembra 2021 alebo novšie, ale ešte nenainštalovali aktualizáciu z 12. júla 2022 a ktorí majú hodnotu databázy Registry PacRequestorEnforcement s hodnotou 0.

Radiče domény systému Windows, ktoré nainštalovali aktualizáciu z 11. októbra 2022, však zostanú kompatibilné s:

Radiče domény systému Windows, ktoré nainštalovali aktualizácie z 11. októbra 2022 alebo novšie
Radiče domény okna, ktoré nainštalovali aktualizácie z 9^. novembra 2021 alebo novšie a majú hodnotu PacRequestorEnforcement alebo hodnotu 1 alebo 2

Informácie o kľúči databázy Registry

Po inštalácii ochrany CVE-2021-42287 v aktualizáciách Windowsu vydaných od 9. novembra 2021 do 14. júna 2022 bude k dispozícii nasledujúci kľúč databázy Registry:

Podkľúč databázy Registry	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Hodnota	PacRequestorEnforcement
Typ údajov	REG_DWORD
Údaje	1: Pridajte nové PAC používateľom, ktorí sa overili pomocou radiča domény služby Active Directory, ktorý má nainštalované aktualizácie z 9. novembra 2021 alebo novšej. Ak má používateľ pri overovaní nový pac, pac sa overí. Ak používateľ nemá nový pac, žiadne ďalšie kroky. Radiče domény služby Active Directory v tomto režime sú vo fáze nasadenia. 2: Pridajte nové PAC používateľom, ktorí sa overili pomocou radiča domény služby Active Directory, ktorý má nainštalované aktualizácie z 9. novembra 2021 alebo novšej. Ak má používateľ pri overovaní nový pac, pac sa overí. Ak používateľ nemá nový pac, overovanie sa zamietne. Radiče domény služby Active Directory v tomto režime sú vo fáze vynútenia. 0: Vypne kľúč databázy Registry. Neodporúča sa. Radiče domény služby Active Directory v tomto režime sú vo fáze Vypnutie. Táto hodnota nebude existovať po aktualizáciách z 12. júla 2022 alebo novších. Dôležité Nastavenie 0 nie je kompatibilné s nastavením 2. Občasné zlyhania sa môžu vyskytnúť, ak sa obe nastavenia používajú v doménovej štruktúre. Ak sa použije nastavenie 0, pred prechodom na nastavenie 2 (režim vynútenia) odporúčame prejsť na nastavenie 0 (Vypnúť) na nastavenie 1 (Nasadenie) aspoň týždeň.
Predvolená	1 (ak kľúč databázy Registry nie je nastavený)
Vyžaduje sa reštartovanie?	Nie

Udalosti auditovania

Aktualizácia Windowsu z 9. novembra 2021 pridá aj nové denníky udalostí.

PAC bez atribútov

KDC narazí na TGT bez medzipamäte atribútu PAC. Je pravdepodobné, že ostatné KDC v denníkoch neobsahuje aktualizáciu alebo je v režime vypnutia.

Denník udalostí	Systém
Typ udalosti	Upozornenie
Zdroj udalosti	Microsoft-Windows-Kerberos-Key-Distribution-Center
Identifikačné číslo udalosti	35
Text udalosti	V centre distribúcie kľúčov (KDC) sa vyskytol lístok-granting-ticket (TGT) z iného KDC ("<názov KDC>"), ktorý neobsedoval pole atribútov PAC.

Lístok bez PAC

KDC narazí na TGT alebo iné dôkazy lístok bez PAC. Týmto zabránite katalógu pracovných údajov v presadzovaní bezpečnostných kontrol lístka.

Denník udalostí	Systém
Typ udalosti	Upozornenie počas fázy nasadenia Chyba počas fázy vynútenia
Zdroj udalosti	Microsoft-Windows-Kerberos-Key-Distribution-Center
Identifikačné číslo udalosti	36
Text udalosti	Centrum distribúcie kľúčov (KDC) narazilo na lístok, ktorý neobsadoval PAC pri spracovaní žiadosti o ďalšiu tiket. Táto funkcia znemožnila spustenie kontrol zabezpečenia a mohla otvoriť chyby zabezpečenia. Klient: <názov domény>\<meno používateľa> Lístok na: <názov služby>

Lístok bez žiadateľa

KDC narazí TGT alebo iné dôkazy lístok bez PAC Requestor medzipamäte. Je pravdepodobné, že KDC, ktorý zostavil PAC neobsahuje aktualizáciu alebo je v režime vypnutia.

Poznámka Dôležité informácie o udalosti 37 nájdete v časti Známe problémy .

Denník udalostí	Systém
Typ udalosti	Upozornenie počas fázy nasadenia Chyba počas fázy vynútenia
Zdroj udalosti	Microsoft-Windows-Kerberos-Key-Distribution-Center
Identifikačné číslo udalosti	37
Text udalosti	V centre distribúcie kľúčov (KDC) sa vyskytla žiadosť, ktorá neobsahuje informácie o konte, ktoré požiadalo o lístok pri spracovaní žiadosti o ďalšiu žiadosť. Táto funkcia znemožnila spustenie kontrol zabezpečenia a mohla otvoriť chyby zabezpečenia. Ticket PAC zostavené podľa: <KDC Name> Klient: <názov domény>\<názov klienta> Lístok na: <názov služby>

Nezhoda žiadateľa

KDC narazí na TGT alebo iné dôkazy lístok, a účet, ktorý požadoval TGT alebo dôkazy lístok nezodpovedá účtu, že lístok služby je postavený pre.

Denník udalostí	Systém
Typ udalosti	Chyba
Zdroj udalosti	Microsoft-Windows-Kerberos-Key-Distribution-Center
Identifikačné číslo udalosti	38
Text udalosti	Centrum distribúcie kľúčov (KDC) narazilo na lístok, ktorý obsahoval nekonzistentné informácie o konte, ktoré požadovalo lístok. To by mohlo znamenať, že účet bol premenovaný od vydania tiketu, ktorý mohol byť súčasťou pokusu o zneužitie. Ticket PAC vytvorená spoločnosťou: <Kdc Name> Klient: <názov domény>\<meno používateľa> Lístok na: <názov služby> Vyžaduje sa identifikátor SID konta zo služby Active Directory: <sid> Identifikátor SID žiadajúceho konta z tiketu: <sid>

Známe problémy

Príznak	Alternatívne riešenie
Po inštalácii aktualizácií Windowsu vydaných 9. novembra 2021 alebo novšej v radičoch domény sa niektorým zákazníkom môže zobraziť nové ID udalosti auditu 37 zaznamenané po určitých nastaveniach hesiel alebo operáciách zmeny, napríklad: Aktualizácia alebo oprava zabezpečenia pred zlyhaním klastra CNO alebo VCO Vytvorenie nového hesla používateľa z konzoly Používatelia a počítače služby Active Directory (dsa.msc) Vytvorenie nového používateľa z konzoly Používatelia a počítače služby Active Directory (dsa.msc) Zmena hesla pre zariadenia pripojené k doméne tretej strany Ak sa po inštalácii aktualizácií Windowsu vydaných 9. novembra 2021 alebo novšej na týždeň nezobrazuje IDENTIFIKÁCIA udalosti 37 a PacRequestorEnforcement má hodnotu 1 alebo 2, vaše prostredie to nebude mať vplyv. Ak nastavíte PacRequestorEnforcement = 1, udalosť ID 37 sa zaznamená ako upozornenie, ale žiadosti o zmenu hesla budú úspešné a nebudú mať vplyv na používateľov. Ak nastavíte PacRequestorEnforcement = 2, žiadosti o zmenu hesla zlyhajú a zlyhajú aj vyššie uvedené operácie.	Tento problém bol vyriešený v nasledujúcich aktualizáciách: Windows 11 – KB5011563 Windows Server 2022 – KB5011558 Windows 10, verzia 20H2, Windows 10 verzia 21H1 a Windows 10, verzia 21H2 – KB5011543 Windows 10, verzia 1809 a Windows Server 2019 – KB5011551 Windows 10, verzia 1607 a Windows Server 2016 – KB5012596 Windows Server 2012 R2 – KB5012670 Windows Server 2012 – KB5012666 Windows Server 2008 R2 – KB5012649 Windows Server 2008 SP2 – KB5012632

Príznak

Alternatívne riešenie

Po inštalácii aktualizácií Windowsu vydaných 9. novembra 2021 alebo novšej v radičoch domény sa niektorým zákazníkom môže zobraziť nové ID udalosti auditu 37 zaznamenané po určitých nastaveniach hesiel alebo operáciách zmeny, napríklad:

Aktualizácia alebo oprava zabezpečenia pred zlyhaním klastra CNO alebo VCO
Vytvorenie nového hesla používateľa z konzoly Používatelia a počítače služby Active Directory (dsa.msc)
Vytvorenie nového používateľa z konzoly Používatelia a počítače služby Active Directory (dsa.msc)
Zmena hesla pre zariadenia pripojené k doméne tretej strany

Ak sa po inštalácii aktualizácií Windowsu vydaných 9. novembra 2021 alebo novšej na týždeň nezobrazuje IDENTIFIKÁCIA udalosti 37 a PacRequestorEnforcement má hodnotu 1 alebo 2, vaše prostredie to nebude mať vplyv.

Ak nastavíte PacRequestorEnforcement = 1, udalosť ID 37 sa zaznamená ako upozornenie, ale žiadosti o zmenu hesla budú úspešné a nebudú mať vplyv na používateľov.

Ak nastavíte PacRequestorEnforcement = 2, žiadosti o zmenu hesla zlyhajú a zlyhajú aj vyššie uvedené operácie.

Tento problém bol vyriešený v nasledujúcich aktualizáciách:

Windows 11 – KB5011563
Windows Server 2022 – KB5011558
Windows 10, verzia 20H2, Windows 10 verzia 21H1 a Windows 10, verzia 21H2 – KB5011543
Windows 10, verzia 1809 a Windows Server 2019 – KB5011551
Windows 10, verzia 1607 a Windows Server 2016 – KB5012596
Windows Server 2012 R2 – KB5012670
Windows Server 2012 – KB5012666
Windows Server 2008 R2 – KB5012649
Windows Server 2008 SP2 – KB5012632

Najčastejšie otázky

Q1 Čo sa stane, ak mám zmes radičov domény služby Active Directory, ktoré sa aktualizujú a neaktualizujú?

A1. Zmes radičov domény, ktoré sa aktualizujú a neaktualizujú, ale majú predvolenú hodnotu kľúča databázy Registry PacRequestorEnforcement s hodnotou 1, sú navzájom kompatibilné. Spoločnosť Microsoft však dôrazne odporúča nepoužívať radiče domény, ktoré sa v prostredí aktualizujú a neaktualizujú.

Q2 Čo sa stane, ak mám zmes radičov domény služby Active Directory, ktoré majú rôzne hodnoty PacRequestorEnforcement?

A2. Zmes radičov domény, ktoré majú hodnoty PacRequestorEnforcement 0 a 1, sú navzájom kompatibilné. Zmes radičov domény, ktoré majú hodnoty PacRequestorEnforcement 1 a 2, sú navzájom kompatibilné. Zmes radičov domény, ktoré majú hodnoty PacRequestorEnforcement 0 a 2 , nie sú navzájom kompatibilné a môžu spôsobiť občasné zlyhania. Ďalšie podrobnosti nájdete v časti s informáciami o kľúčoch databázy Registry.