Aktualizované 20. 3. 2024 – pridané odkazy na LDS
Zhrnutie
CVE-2021-42291 rieši chybu obídenia zabezpečenia, ktorá umožňuje niektorým používateľom nastaviť ľubovoľné hodnoty na atribúty špecifické objekty uložené v službe Active Directory (AD) alebo Lightweight Directory Service (LDS). Ak chcete využiť túto zraniteľnosť, používateľ musí mať dostatočné oprávnenia na vytvorenie počítača odvodeného objektu, ako je napríklad používateľ, ktorému boli udelené povolenia CreateChild pre objekty počítača. Tento používateľ by mohol vytvoriť počítačové konto pomocou LDAP (Lightweight Directory Access Protocol) Pridať volanie, ktoré umožňuje príliš prípustný prístup k atribútu securityDescriptor . Okrem toho môžu tvorcovia a vlastníci upravovať atribúty citlivé na zabezpečenie po vytvorení konta. Toto je možné využiť na vykonanie zvýšenia úrovne oprávnení v určitých scenároch.
PoznámkaLDS zaznamená udalosti 3050, 3053, 3051 a 3054 o stave implicitného prístupu k objektom, rovnako ako AD.
Zmierňovanie rizík v CVE-2021-42291 pozostáva z týchto:
-
Dodatočné overenie oprávnenia, keď sa používatelia bez práv správcu domény alebo správcu LDS pokúsia o operáciu pridania LDAP pre objekt odvodený od počítača. To zahŕňa režim Audit podľa predvoleného nastavenia, ktorý audituje, keď sa takéto pokusy vyskytnú bez zásahu do požiadavky a režim vynútenia, ktorý blokuje takéto pokusy.
-
Dočasné odstránenie oprávnení implicitného vlastníka, keď sa používatelia bez práv správcu domény pokúsia vykonať operáciu úpravy LDAP v atribúte securityDescriptor . Vykoná sa overenie, aby sa potvrdilo, či používateľ môže zapisovať popisovač zabezpečenia bez oprávnení implicitného vlastníka. To zahŕňa aj režim audit-podľa predvoleného nastavenia, ktorý audituje, keď sa takéto pokusy vyskytnú bez zásahu do požiadavky a režim presadzovania, ktorý blokuje takéto pokusy.
Vykonať akciu
Ak chcete chrániť svoje prostredie a vyhnúť sa výpadkom, vykonajte nasledujúce kroky:
-
Aktualizujte všetky zariadenia, ktoré hosťujú radič domény služby Active Directory alebo rolu servera LDS, nainštalovaním najnovších aktualizácií Windowsu. DCs, ktoré majú aktualizácie z 9. novembra 2021 alebo novšie, budú mať zmeny v režime auditu predvolene.
-
Monitorujte denník udalostí adresárovej služby alebo LDS pre udalosti 3044-3056 na radičoch domén a serveroch LDS, ktoré majú aktualizácie Windowsu z 9. novembra 2021 alebo novšej. Zaznamenané udalosti naznačujú, že používateľ môže mať nadmerné oprávnenia na vytváranie počítačových kont s ľubovoľnými atribútmi citlivými na zabezpečenie. Nahláste spoločnosti Microsoft akékoľvek neočakávané scenáre pomocou prípadu Premier alebo Unified Support alebo Centra pripomienok. (Príklad týchto udalostí nájdete v časti Novopridané udalosti.)
-
Ak režim auditu nezistí žiadne neočakávané oprávnenia na dostatočnú dobu, prepnite do režimu presadzovania, aby sa zabezpečilo, že sa nevyskytnú žiadne negatívne výsledky. Nahláste spoločnosti Microsoft akékoľvek neočakávané scenáre pomocou prípadu Premier alebo Unified Support alebo Centra pripomienok.
Časovanie aktualizácií Windowsu
Tieto aktualizácie Windowsu budú vydané v dvoch fázach:
-
Počiatočné nasadenie – zavedenie aktualizácie vrátane režimov Audit-By-Default, Enforcement alebo Disable konfigurovateľných pomocou atribútu dSHeuristics .
-
Konečné nasadenie – predvolene vynútenie.
9. novembra 2021: Počiatočná fáza nasadenia
Počiatočná fáza nasadenia sa začína aktualizáciou windowsu vydanou 9. novembra 2021. Toto vydanie pridá audit povolení nastavených používateľmi bez práv správcu domény počas vytvárania alebo upravovania počítača alebo objektov odvodených od počítača. Pridá tiež režim vynútenia a vypnutia. Režim môžete nastaviť globálne pre každú doménu doménovej štruktúry služby Active Directory pomocou atribútu dSHeuristics .
(Aktualizované 15. 12. 2023) Finálna fáza nasadenia
Konečná fáza nasadenia sa môže začať po dokončení krokov uvedených v časti Vykonať akciu. Ak sa chcete presunúť do režimu presadzovania, postupujte podľa pokynov v časti Pokyny na nasadenie a nastavte 28. a 29. bity atribútu dSHeuristics . Potom sledujte udalosti 3044-3046. Hlásia sa, keď režim vynútenia zablokoval operáciu pridania alebo úpravy LDAP, ktorá mohla byť predtým povolená v režime auditu.
Sprievodný materiál k nasadeniu
Nastavenie informácií o konfigurácii
Po inštalácii CVE-2021-42291 znaky 28 a 29 atribútu dSHeuristics ovládajú správanie aktualizácie. Atribút dSHeuristics existuje v každej doménovej štruktúre služby Active Directory a obsahuje nastavenia pre celý les. Atribút dSHeuristics je atribútom objektu CN=Directory Service,CN=systém Windows NT,CN=Services,CN=Configuration,<Domain>" (AD) alebo "CN=Directory Service,CN=systém Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS). Ďalšie informácie nájdete v atribútoch 6.1.1.2.4.1.2 dSHeuristics a DS-Heuristics .
Znak 28 – Ďalšie overenia AuthZ pre operácie pridávania LDAP
0: Režim auditu podľa predvoleného nastavenia je povolený. Udalosť sa zapíše do denníka, keď používatelia bez práv správcu domény nastavia objekt securityDescriptor alebo iné atribúty na hodnoty, ktoré by mohli udeliť nadmerné povolenia, čo potenciálne umožní budúce využívanie nových objektov AD odvodených z počítača.
1: Režim presadzovania je povolený. Tým sa zabráni používateľom bez práv správcu domény nastaviť objekt securityDescriptor alebo iné atribúty na hodnoty, ktoré by mohli udeliť nadmerné povolenia pre objekty AD odvodené z počítača. Udalosť sa zaznamená aj vtedy, keď k tomu dôjde.
2: Zakáže aktualizované auditovanie a nevynucuje pridané zabezpečenie. Neodporúča sa.
Príklad: Ak ste v doménovej štruktúre nemali povolené žiadne ďalšie nastavenia dSHeuristics a chcete prejsť do režimu presadzovania na ďalšie overenie AuthZ, atribút dSHeuristics by mal byť nastavený na:
"0000000001000000000200000001"
Znaky, ktoré sú nastavené v tomto prípade sú:
10th char: Musí byť nastavená na 1, ak dSHeuristics atribút je aspoň 10 znakov
20th char: Musí byť nastavená na 2, ak dSHeuristics atribút je aspoň 20 znakov
28th char: Musí byť nastavená na 1, aby režim presadzovania pre ďalšie overenie AuthZ
Znak 29 – Dočasné odstránenie implicitného vlastníka pre operácie úpravy LDAP
0: Režim auditu podľa predvoleného nastavenia je povolený. Udalosť sa zapíše do denníka, keď používatelia bez práv správcu domény nastavia objekt securityDescriptor na hodnoty, ktoré môžu udeliť nadmerné povolenia, čo potenciálne umožní budúce využívanie existujúcich objektov AD odvodených z počítača.
1: Režim presadzovania je povolený. Tým sa zabráni používateľom bez práv správcu domény nastaviť objekt securityDescriptor na hodnoty, ktoré by mohli udeliť nadmerné povolenia pre existujúce objekty AD odvodené z počítača. Udalosť sa zaznamená aj vtedy, keď k tomu dôjde.
2:Zakáže aktualizované auditovanie a nevynucuje pridané zabezpečenie. Neodporúča sa.
Príklad: Ak ste v doménovej štruktúre mali nastavený iba príznak Additional AuthZ verifications dsHeuristics a chcete prejsť do režimu vynútenia na dočasné odstránenie implicitného vlastníctva, atribút dSHeuristics by mal byť nastavený na:
"00000000010000000002000000011"
Znaky, ktoré sú nastavené v tomto prípade sú:
10th char: Musí byť nastavená na 1, ak dSHeuristics atribút je aspoň 10 znakov
20th char: Musí byť nastavená na 2, ak dSHeuristics atribút je aspoň 20 znakov
28th char: Musí byť nastavená na 1, aby režim presadzovania pre ďalšie overenie
AuthZ
29th char: Musí byť nastavená na 1, aby režim presadzovania pre dočasné implicitné odstránenie vlastníctva
Novo pridané udalosti
Aktualizácia Windowsu z 9. novembra 2021 pridá aj nové denníky udalostí.
Udalosti zmeny režimu – ďalšie overenie AuthZ pre operácie pridávania LDAP
Udalosti, ktoré sa vyskytujú, keď bit 28 atribútu dSHeuristics zmení, čím sa zmení režim ďalšie overovanie AuthZ pre LDAP pridať operácie časť aktualizácie.
|
Denník udalostí |
Adresárové služby |
|
Typ udalosti |
Informačné |
|
Identifikačné číslo udalosti |
3050 |
|
Text udalosti |
Adresár bol nakonfigurovaný na vynútenie oprávnenia podľa atribútu počas operácií pridávania LDAP. Toto je najbezpečnejšie nastavenie a nevyžaduje sa žiadna ďalšia akcia. |
|
Denník udalostí |
Adresárové služby |
|
Typ udalosti |
Upozornenie |
|
Identifikačné číslo udalosti |
3051 |
|
Text udalosti |
Adresár bol nakonfigurovaný tak, aby počas operácií pridávania LDAP nevynucoval oprávnenie podľa atribútu. Udalosti upozornenia sa zapíšu do denníka, ale žiadne požiadavky nebudú blokované. Toto nastavenie nie je bezpečné a malo by sa používať len ako dočasný krok riešenia problémov. Pozrite si navrhované obmedzenia rizík v nižšie uvedenom prepojení. |
|
Denník udalostí |
Adresárové služby |
|
Typ udalosti |
Chyba |
|
Identifikačné číslo udalosti |
3052 |
|
Text udalosti |
Adresár bol nakonfigurovaný tak, aby počas operácií pridávania LDAP nevynucoval oprávnenie podľa atribútu. Nezapíšu sa žiadne udalosti a žiadne požiadavky nebudú blokované. Toto nastavenie nie je bezpečné a malo by sa používať len ako dočasný krok riešenia problémov. Pozrite si navrhované obmedzenia rizík v nižšie uvedenom prepojení. |
Udalosti zmeny režimu – dočasné odstránenie práv implicitného vlastníka
Udalosti, ktoré sa vyskytujú, keď bit 29 atribútu dSHeuristics zmení, čo zmení režim dočasného odstránenia implicitných práv vlastníka časť aktualizácie.
|
Denník udalostí |
Adresárové služby |
|
Typ udalosti |
Informačné |
|
Identifikačné číslo udalosti |
3053 |
|
Text udalosti |
Adresár bol nakonfigurovaný tak, aby blokoval implicitné oprávnenia vlastníka pri počiatočnom nastavení alebo úprave atribútu nTSecurityDescriptor počas operácií pridávania a upravovania LDAP. Toto je najbezpečnejšie nastavenie a nevyžaduje sa žiadna ďalšia akcia. |
|
Denník udalostí |
Adresárové služby |
|
Typ udalosti |
Upozornenie |
|
Identifikačné číslo udalosti |
3054 |
|
Text udalosti |
Adresár bol nakonfigurovaný tak, aby povoľoval implicitné oprávnenia vlastníka pri počiatočnom nastavení alebo úprave atribútu nTSecurityDescriptor počas operácií pridávania a upravovania LDAP. Udalosti upozornenia sa zapíšu do denníka, ale žiadne požiadavky nebudú blokované. Toto nastavenie nie je bezpečné a malo by sa používať len ako dočasný krok riešenia problémov. |
|
Denník udalostí |
Adresárové služby |
|
Typ udalosti |
Chyba |
|
Identifikačné číslo udalosti |
3055 |
|
Text udalosti |
Adresár bol nakonfigurovaný tak, aby povoľoval implicitné oprávnenia vlastníka pri počiatočnom nastavení alebo úprave atribútu nTSecurityDescriptor počas operácií pridávania a upravovania LDAP. Nezapíšu sa žiadne udalosti a žiadne požiadavky nebudú blokované. Toto nastavenie nie je bezpečné a malo by sa používať len ako dočasný krok riešenia problémov. |
Udalosti režimu auditu
Udalosti, ktoré sa vyskytujú v režime auditu na zaznamenanie potenciálnych obáv o zabezpečenie pomocou operácie pridania alebo úpravy LDAP.
|
Denník udalostí |
Adresárové služby |
|
Typ udalosti |
Upozornenie |
|
Identifikačné číslo udalosti |
3047 |
|
Text udalosti |
Adresárová služba zistila požiadavku na pridanie protokolu LDAP pre nasledujúci objekt, ktorý by bol zvyčajne zablokovaný z nasledujúcich dôvodov zabezpečenia. Klient nemal povolenie na zápis jedného alebo viacerých atribútov zahrnutých do požiadavky na pridanie na základe predvoleného zlúčeného popisovača zabezpečenia. Požiadavka mohla pokračovať, pretože adresár je momentálne nakonfigurovaný tak, aby bol v režime iba na audit pre túto kontrolu zabezpečenia. DN objektu: <vytvoreného> DN objektu Trieda objektu: objekt triedy <vytvorený objekt Triedy> Používateľ: <používateľ, ktorý sa pokúsil pridať> LDAP IP adresa klienta: <IP adresy žiadateľa> Bezpečnostné desc: <SD, ktorý sa pokúsil> |
|
Denník udalostí |
Adresárové služby |
|
Typ udalosti |
Upozornenie |
|
Identifikačné číslo udalosti |
3048 |
|
Text udalosti |
Adresárová služba zistila požiadavku na pridanie protokolu LDAP pre nasledujúci objekt, ktorý by bol zvyčajne zablokovaný z nasledujúcich dôvodov zabezpečenia. Klient zahrnul atribút nTSecurityDescriptor do požiadavky na pridanie, ale nemal explicitné povolenie na zápis jednej alebo viacerých častí nového popisovača zabezpečenia na základe predvoleného zlúčeného popisovača zabezpečenia. Požiadavka mohla pokračovať, pretože adresár je momentálne nakonfigurovaný tak, aby bol v režime iba na audit pre túto kontrolu zabezpečenia. DN objektu: <vytvoreného> DN objektu Trieda objektu: objekt triedy <vytvorený objekt Triedy> Používateľ: <používateľ, ktorý sa pokúsil pridať> LDAP IP adresa klienta: <IP adresy žiadateľa> |
|
Denník udalostí |
Adresárové služby |
|
Typ udalosti |
Upozornenie |
|
Identifikačné číslo udalosti |
3049 |
|
Text udalosti |
Adresárová služba zistila požiadavku na úpravu protokolu LDAP pre nasledujúci objekt, ktorý by bol zvyčajne zablokovaný z nasledujúcich dôvodov zabezpečenia. Klient zahrnul atribút nTSecurityDescriptor do požiadavky na pridanie, ale nemal explicitné povolenie na zápis jednej alebo viacerých častí nového popisovača zabezpečenia na základe predvoleného zlúčeného popisovača zabezpečenia. Požiadavka mohla pokračovať, pretože adresár je momentálne nakonfigurovaný tak, aby bol v režime iba na audit pre túto kontrolu zabezpečenia. DN objektu: <vytvoreného> DN objektu Trieda objektu: objekt triedy <vytvorený objekt Triedy> Používateľ: <používateľ, ktorý sa pokúsil pridať> LDAP IP adresa klienta: <IP adresy žiadateľa> |
|
Denník udalostí |
Adresárové služby |
|
Typ udalosti |
Upozornenie |
|
Identifikačné číslo udalosti |
3056 |
|
Text udalosti |
Adresárová služba spracovala dotaz pre atribút sdRightsEffective v objekte zadanom nižšie. Vrátená prístupová maska obsahovala WRITE_DAC, ale len preto, že adresár bol nakonfigurovaný tak, aby povoľoval implicitné oprávnenia vlastníka, čo nie je bezpečné nastavenie. DN objektu: <vytvoreného> DN objektu Používateľ: <používateľ, ktorý sa pokúsil pridať> LDAP IP adresa klienta: <IP adresy žiadateľa> |
Režim vynútenia – pridanie zlyhaní LDAP
Udalosti, ktoré sa vyskytnú pri odmietnutí operácie pridania LDAP.
|
Denník udalostí |
Adresárové služby |
|
Typ udalosti |
Upozornenie |
|
Identifikačné číslo udalosti |
3044 |
|
Text udalosti |
Adresárová služba zamietla požiadavku na pridanie protokolu LDAP pre nasledujúci objekt. Požiadavka bola zamietnutá, pretože klient nemal povolenie na zápis jedného alebo viacerých atribútov zahrnutých v požiadavke na pridanie na základe predvoleného popisovača zlúčeného zabezpečenia. DN objektu: <vytvoreného> DN objektu Trieda objektu: objekt triedy <vytvorený objekt Triedy> Používateľ: <používateľ, ktorý sa pokúsil pridať> LDAP IP adresa klienta: <IP adresy žiadateľa> Bezpečnostné desc: <SD, ktorý sa pokúsil> |
|
Denník udalostí |
Adresárové služby |
|
Typ udalosti |
Upozornenie |
|
Identifikačné číslo udalosti |
3045 |
|
Text udalosti |
Adresárová služba zamietla požiadavku na pridanie protokolu LDAP pre nasledujúci objekt. Požiadavka bola zamietnutá, pretože klient zahrnul atribút nTSecurityDescriptor do požiadavky na pridanie, ale nemal explicitné povolenie na zápis jednej alebo viacerých častí nového popisovača zabezpečenia na základe predvoleného zlúčeného popisovača zabezpečenia. DN objektu: <vytvoreného> DN objektu Trieda objektu: objekt triedy <vytvorený objekt Triedy> Používateľ: <používateľ, ktorý sa pokúsil pridať> LDAP IP adresa klienta: <IP adresy žiadateľa> |
Režim presadzovania – zlyhania úprav LDAP
Udalosti, ktoré sa vyskytnú pri odmietnutí operácie úpravy LDAP.
|
Denník udalostí |
Adresárové služby |
|
Typ udalosti |
Upozornenie |
|
Identifikačné číslo udalosti |
3046 |
|
Text udalosti |
Adresárová služba zamietla požiadavku na úpravu protokolu LDAP pre nasledujúci objekt. Požiadavka bola zamietnutá, pretože klient zahrnul atribút nTSecurityDescriptor do požiadavky na úpravu, ale nemal explicitné povolenie na zápis jednej alebo viacerých častí nového popisovača zabezpečenia na základe existujúceho popisovača zabezpečenia objektu. DN objektu: <vytvoreného> DN objektu Trieda objektu: objekt triedy <vytvorený objekt Triedy> Používateľ: <používateľ, ktorý sa pokúsil pridať> LDAP IP adresa klienta: <IP adresy žiadateľa> |
Najčastejšie otázky
Q1 Čo sa stane, ak mám zmes radičov domény služby Active Directory, ktoré sa aktualizujú a neaktualizujú?
A1 Neaktualizované DCs sa nezapisujú do denníka udalostí súvisiacich s týmto rizikom.
Q2 Čo je potrebné urobiť pre Read-Only radiče domény (RODCs)?
A2 Nič; Operácie pridania a úpravy protokolu LDAP nemôžu zacieliť na rody.
3. štvrťrok mám produkt alebo proces tretej strany, ktorý zlyhá po povolení režimu presadzovania. Musím udeliť služby alebo práva správcu domény používateľa?
A3 Vo všeobecnosti neodporúčame pridať službu alebo používateľa do skupiny Správcovia domén ako prvé riešenie tohto problému. Preskúmajte denníky udalostí, aby ste zistili, aké konkrétne povolenie sa vyžaduje, a zvážte delegovanie vhodne obmedzených práv pre daného používateľa na samostatnú organizačnú jednotku určenú na tento účel.
Q4 Vidím udalosti auditu aj pre servery LDS. Prečo sa to deje?
A4Všetky vyššie uvedené platí aj pre AD LDS, aj keď je veľmi nezvyčajné mať počítačové objekty v LDS. V prípade, že režim auditu nezistí žiadne neočakávané oprávnenia, je potrebné vykonať kroky na obmedzenie rizík, ktoré umožnia zabezpečenie služby AD LDS.
