Zhrnutie
Spoločnosť Microsoft vydala aktualizáciu windowsu na riešenie zraniteľnosti útoku prehrávania tokenov v službe Active Directory Federation Services (ADFS) (AD FS), ako je popísané v CVE-2023-35348. Táto aktualizácia je nainštalovaná aktualizáciami Windowsu vydanými 11. júla 2023 alebo po tomto dátume. Táto aktualizácia je predvolene nainštalovaná ako vypnutá. Ak chcete povoliť aktualizáciu, musíte nakonfigurovať nastavenie EnforceNonceInJWT .
Ďalšie informácie
Táto aktualizácia predstavuje nové nastavenie na povolenie overenia hodnoty Nonce z kontrolného výrazu JSON Web Token (JWT) počas overovania používateľa JWT.
Tento článok popisuje, ako povoliť nastavenie a poskytuje podrobnosti o udalostiach prihlásených na serveroch ADFS pre podporované hodnoty nastavenia.
Nastavenie EnforceNonceInJWT
EnforceNonceInJWT môže správca na serveri ADFS nakonfigurovať tak, aby sa spustil v niektorom z nasledujúcich režimov:
-
Žiadne (predvolená hodnota): Používa sa na sledovanie toho, či sa niekedy zmenila hodnota nastavenia EnforceNonceInJWT . Túto hodnotu nemusí nastaviť správca. Server ADFS overí nonce iba vtedy, keď sa nachádza v tvrdení JWT, ale nevynucuje jeho prítomnosť.
-
Telesne: Táto hodnota môže byť nastavená tak, aby sa oprava vypla, ak sa vyskytli nejaké problémy s predvolenou hodnotou alebo po jej povolení.
-
Povolené: Povolí nastavenie EnforceNonceInJWT . Server ADFS vynucuje, že hodnota Nonce sa nachádza v tvrdení JWT a je platná aj vtedy, keď sú splnené určité podmienky.
Správca servera AD FS môže zmeniť režimy EnforceNonceInJWT pomocou nasledujúcich príkazov prostredia PowerShell:
-
Povoliť EnforceNonceInJWT: Set-AdfsProperties -EnforceNonceInJWT enabled
-
Zakázať EnforceNonceInJWT: Set-AdfsProperties -EnforceNonceInJWT Disabled
-
Skontrolujte stav nastavenia EnforceNonceInJWT: Správca môže spustiť get-AdfsProperties a skontrolovať aktuálne nastavenie EnforceNonceInJWT . Vrátená hodnota EnforceNonceInJWT sa bude zhodovať s nakonfigurovaným režimom.
Zaznamenané udalosti
Po nainštalovaní aktualizácií Windowsu vydaných 11. júla 2023 alebo po ich nainštalovaní sa môžu na serveri AD FS prihlásiť tieto udalosti:
Poznámka Udalosť 187 sa zapisuje do denníka vždy, keď server AD FS prijme požiadavku, ktorá neobsahuje nonce v tvrdení JWT a vlastnosť EnforceNonceInJWT je nastavená na možnosť Žiadne alebo Zakázané.
Zdrojový: AD FS
Úrovni: Upozornenie
IDENTIFIKÁCIA: 187
Správu: Server AD FS prijal token JWT bez nonce v tvrdení a bol prijatý na základe aktuálneho nastavenia konfigurácie enforceNonceInJWT. Označuje však možné prehratie tokenu JWT škodlivým klientom alebo možnosť, že klient nie je opravený najnovšími Aktualizácie systému Windows. Uistite sa, že aktualizovať EnforceNonceInJWT nastavenie odmietnuť všetky tieto JWT tokeny po oprave klientov s najnovšími Windows Aktualizácie. Ďalšie informácie nájdete v téme https://go.microsoft.com/fwlink/?linkid=2238156.
Poznámka Udalosť 188 sa zapisuje do denníka s každou službou AD FS, keď je vlastnosť EnforceNonceInJWT nastavená na možnosť Žiadne alebo Zakázané.
Zdrojový: AD FS
Úrovni: Chyba
IDENTIFIKÁCIA: 188
Správu: Server AD FS nie je nakonfigurovaný tak, aby odmietol tokeny JWT, ktoré nemali v tvrdení nezhodu. Príslušné nastavenie (EnforceNonceInJWT) by malo byť povolené z bezpečnostných dôvodov po tom, čo sa uistite, že všetci klienti sú opravení najnovšími Aktualizácie windowsu. Udalosť 187 označuje inštancie, kde AD FS prijal tieto tokeny a prijal v dôsledku aktuálneho nastavenia EnforceNonceInJWT. Ďalšie informácie nájdete v téme https://go.microsoft.com/fwlink/?linkid=2238156.
Vykonanie akcie
Nainštalujte aktualizácie Windowsu vydané 11. júla 2023 alebo po ich vydaní na všetkých serveroch ADFS farmy. Potom povoľte nastavenie spustením nasledujúceho príkazu prostredia PowerShell na primárnom serveri ADFS farmy:
Set-AdfsProperties -EnforceNonceInJWT Enabled
Dôležité V niektorých scenároch sa môžu vyskytnúť zlyhania overenia, ak existujú klienti, ktorí nie sú aktualizovaní, a odosielajú požiadavky na overovanie JWT na server AD FS. V takýchto prípadoch odporúčame aktualizovať všetkých klientov inštaláciou aktualizácie Windowsu vydanej 11. júla 2023 alebo po jej skončení. Prípadne môže správca vypnúť nastavenie EnforceNonceInJWT a monitorovať servery AD FS na zapisovanie udalosti 187 do denníka, aby identifikoval potenciálne požiadavky, ktoré by mohli byť odmietnuté, keď je vlastnosť EnforceNonceInJWTnastavená na možnosť Povolené. Po potvrdení absencie udalosti 187 na serveroch AD FS na definované časové obdobie musí byť nastavenie EnforceNonceInJWT aktualizované na hodnotu Povolené.
