KB5008380 – posodobitve preverjanja pristnosti (CVE-2021-42287)

Povzetek

CVE-2021-42287 obravnava ranljivost varnostnega obhoda, ki vpliva na potrdilo o atributu privilegija Kerberos (PAC) in omogoča morebitnim napadalcem, da poosebljajo krmilnike domene. Če želite izkoristiti to ranljivost, lahko ogrožen račun domene povzroči, da središče za distribucijo ključa (KDC) ustvari vstopnico storitve z višjo stopnjo pravic od ogroženega računa. To doseže tako, da KDC-ju prepreči, da bi identificiral, za kateri račun je zahteva za storitve z višjimi pravicami.

Izboljšani postopek preverjanja pristnosti v CVE-2021-42287 doda nove informacije o prvotnem odpošljatelju v računalnike s potrdilom o pristnosti Kerberos Ticket-Granting Vstopnice (TGT). Ko je za račun ustvarjena vstopnica storitve Kerberos, bo novi postopek preverjanja pristnosti preveril, ali je račun, ki je zahteval TGT, isti račun v naročilu storitve.

Po namestitvi posodobitev sistema Windows z dne 9. novembra 2021 ali novejše različice bodo računalniki PAS dodani v TGT vseh računov domene, tudi tistih, ki so prej izbrali, da zavrnejo računalnike z uporabniškimi karticami.

Ukrepajte

Če želite zaščititi svoje okolje in se izogniti izpadom, dokončajte te korake:

Posodobite vse naprave, ki gostijo vlogo krmilnika domene imenika Active Directory, tako da namestite varnostno posodobitev z dne 9. novembra 2021 in posodobitev OOB (out-of-band) z dne 14. novembra 2021. Spodaj poiščite številko OOB KB za vaš operacijski sistem.

Operacijski sistem	Število KB
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
strežnik Windows Server 2008 R2 s servisnim paketom SP1	5008605
Windows Server 2008 s servisnim paketom SP2	5008606

Po namestitvi varnostne posodobitve z dne 9. novembra 2021 in posodobitve OOB z dne 14. novembra 2021 v vseh krmilnikih domene imenika Active Directory vsaj 7 dni, toplo priporočamo, da v vseh krmilnikih domene imenika Active Directory omogočite način uveljavljanja.
Z (posodobljeno) posodobitvijo 11. oktobra 2022 bo način uveljavljanja omogočen v vseh krmilnikih domene sistema Windows in bo obvezen.

Časovna usklajenost posodobitev sistema Windows – (posodobljeno 31. 1. 23)

Te posodobitve Posodobitve sistema Windows bodo izdane v treh fazah:

Začetna uvedba – uvedba posodobitve in registrskega ključa PacRequestorEnforcement
Drugo uvajanje – odstranitev vrednosti 0 PacRequestorEnforcement (zmožnost onemogočanja registrskega ključa)
Faza uveljavljanja – način uveljavljanja je omogočen. Ta faza amortira ključ PacRequestorEnforcement in ga ne prebere več

9. november 2021: faza začetne uvedbe

Faza začetnega uvajanja se začne s posodobitvijo sistema Windows, izdano 9. novembra 2021. Ta izdaja:

Doda zaščito pred CVE-2021-42287
Doda podporo za vrednost registra PacRequestorEnforcement , ki omogoča zgodnji prehod na fazo uveljavljanja.

Ublažitev je sestavljena iz namestitve posodobitev sistema Windows v vse naprave, ki gostijo vlogo krmilnika domene in krmilnike domene samo za branje (RODCs).

12. julij 2022: druga faza uvajanja

Druga faza uvajanja se začne s posodobitvijo sistema Windows, izdano 12. julija 2022. Ta faza odstrani nastavitev PacRequestorEnforcement 0. Nastavitev PacRequestorEnforcement na 0 po namestitvi te posodobitve bo imel enak učinek kot nastavitev PacRequestorEnforcement na 1. Krmilniki domene bodo v načinu uvajanja.

Opomba Ta faza ni potrebna, če pacRequestorEnforcement v vašem okolju nikoli ni nastavljena na 0. Ta faza pomaga zagotoviti, da stranke, ki so nastavile PacRequestorEnforcement na 0, premaknejo na nastavitev 1 pred fazo uveljavljanja.

Opomba Ta posodobitev predvideva, da so vsi krmilniki domene posodobljeni s posodobitvijo sistema Windows z dne 9. novembra 2021 ali novejšo.

11. oktober 2022: faza izvajanja – (posodobljeno 31. 1. 23)

Izdaja z dne 11. oktobra 2022 bo vse krmilnike domene imenika Active Directory preleta v fazo uveljavljanja. V fazi uveljavljanja je ključ PacRequestorEnforcement preobrabra in ga ne prebere več. Krmilniki domene sistema Windows, ki so namestili posodobitev z dne 11. oktobra 2022, zato ne bodo več združljivi z:

Krmilniki domene, ki niso namestili posodobitev z dne 9. novembra 2021 ali novejše.
Krmilniki domene, ki so namestili posodobitve z dne 9. novembra 2021 ali novejše, vendar še niso namestili posodobitve z dne 12. julija 2022 in ki imajo vrednost registra PacRequestorEnforcement 0.

Vendar pa bodo krmilniki domene sistema Windows, ki so namestili posodobitev z dne 11. oktobra 2022, še naprej združljivi z:

Krmilniki domene sistema Windows, ki so namestili posodobitve z dne 11. oktobra 2022 ali novejše
Krmilniki domene sistema Windows, ki imajo nameščene posodobitve z^{dne 9.} novembra 2021 ali novejšo in imajo vrednost PacRequestorEnforcement ali 1 ali 2

Informacije o registrskem ključu

Po namestitvi zaščite CVE-2021-42287 v posodobitvah sistema Windows, izdanih med 9. novembrom 2021 in 14. junijem 2022, bo na voljo ta registrski ključ:

Registrski podključ	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Vrednost	PacRequestorEnforcement
Podatkovni tip	REG_DWORD
Podatki	1: Dodajte nov pac uporabnikom, ki so preverili pristnost s krmilnikom domene imenika Active Directory, v katerem so nameščene posodobitve z dne 9. novembra 2021 ali novejše. Če ima uporabnik pri preverjanja pristnosti nov PAC, je preverjanje veljavnosti preverjeno. Če uporabnik nima novega PAC-a, ne bo izvedeno nobeno nadaljnje dejanje. Krmilniki domene imenika Active Directory v tem načinu so v fazi uvajanja. 2: Dodajte nov pac uporabnikom, ki so preverili pristnost s krmilnikom domene imenika Active Directory, v katerem so nameščene posodobitve z dne 9. novembra 2021 ali novejše. Če ima uporabnik pri preverjanja pristnosti nov PAC, je preverjanje veljavnosti preverjeno. Če uporabnik nima novega PAC-a, je preverjanje pristnosti zavrnjeno. Krmilniki domene imenika Active Directory v tem načinu so v fazi uveljavljanja. 0: Onemogoči registrski ključ. Ni priporočeno. Krmilniki domene imenika Active Directory v tem načinu so v fazi Onemogočeno. Ta vrednost ne bo obstajala po posodobitvah z dne 12. julija 2022 ali novejših posodobitvah. Pomembno Nastavitev 0 ni združljiva z nastavitvijo 2. Do občasnih napak lahko pride, če sta obe nastavitvami uporabljeni v gozdu. Če je uporabljena nastavitev 0, priporočamo, da nastavitev 0 (Onemogoči) nastavite na 1 (Uvajanje) vsaj en teden, preden začnete nastaviti 2 (način uveljavljanja).
Privzeto	1 (če registrski ključ ni nastavljen)
Ali je potreben vnovični zagon?	Ne

Dogodki nadzora

Nova posodobitev sistema Windows z dne 9. novembra 2021 bo dodala tudi nove dnevnike dogodkov.

PAC brez atributov

KDC naleti na TGT brez medpomnilnika atributa PAC. Drugi KDC v dnevnikih najverjetneje ne vsebuje posodobitve ali je v onemogočenem načinu.

Dnevnik dogodkov	Sistem
Vrsta dogodka	Opozorilo
Vir dogodka	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID dogodka	35
Besedilo dogodka	Središče za distribucijo ključa (KDC) je naletelo na vstopnico (TGT) iz drugega KDC-ja (»<KDC Name>«), ki ni vsebovalo polja z atributi PAC.

Ticket without a PAC

KDC naleti na TGT ali drugo vstopnico za dokaze brez PAC. To preprečuje KDC-ju uveljavljanje varnostnih pregledov na vozovnici.

Dnevnik dogodkov	Sistem
Vrsta dogodka	Opozorilo med fazo uvajanja Napaka med fazo uveljavljanja
Vir dogodka	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID dogodka	36
Besedilo dogodka	Središče za pošiljanje ključa (KDC) je naletelo na vstopnico, ki med obdelavo zahteve za drugo vstopnico ni vsebovala pac. To je preprečilo izvajanje varnostnih pregledov in lahko je odprlo varnostne ranljivosti. Odjemalec: <ime domene>\<ime> Ticket for: <Service Name>

Ticket without Requestor

KDC naleti na TGT ali drugo vstopnico za dokaze brez zahtevalnega medpomnilnika PAC. KDC, ki je izdelal PAC, najverjetneje ne vsebuje posodobitve ali je v onemogočenem načinu.

Opomba Če želite pomembne informacije o dogodku 37, glejte razdelek Znane težave.

Dnevnik dogodkov	Sistem
Vrsta dogodka	Opozorilo med fazo uvajanja Napaka med fazo uveljavljanja
Vir dogodka	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID dogodka	37
Besedilo dogodka	Središče za distribucijo ključa (KDC) je naletelo na vstopnico, ki ni vsebovala informacij o računu, ki je zahteval zahtevo za zahtevo za drugo vstopnico. To je preprečilo izvajanje varnostnih pregledov in lahko je odprlo varnostne ranljivosti. Ticket PAC constructed by: <KDC Name> Odjemalec: <ime domene>\<ime odjemalca> Ticket for: <Service Name>

Neujemanje med zahtevo in neujemajočimi se vrednostmi

KDC naleti na TGT ali drugo vstopnico za dokaze in račun, ki je zahteval TGT ali vstopnico za dokaze, se ne ujema z računom, za katero je bila zgrajena vstopnica za storitev.

Dnevnik dogodkov	Sistem
Vrsta dogodka	Napaka
Vir dogodka	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID dogodka	38
Besedilo dogodka	Središče za distribucijo ključa (KDC) je naletelo na vstopnico, ki je vsebovala nedosledne informacije o računu, ki je zahteval vstopnico. To lahko pomeni, da je bil račun preimenovan, odkar je bila izdana vozovnica, kar je bilo morda del poskusa zlorabe. Ticket PAC constructed by: <Kdc Name> Odjemalec: <ime domene>\<ime> Ticket for: <Service Name> Zahtevanje SID-a računa iz imenika Active Directory: <sid> Zahtevanje RAČUNA SID iz vstopnice: <SID>

Znane težave

Simptom	Rešitev
Po namestitvi posodobitev sistema Windows, ki so bile izdane 9. novembra 2021 ali novejše v krmilnikih domene, bodo nekateri uporabniki morda videli nov ID dogodka nadzora 37, ki je zabeležen po določeni nastavitvi gesla ali spreminjanju postopkov, kot so: Posodobitev ali popravilo preklopa gruče za preklop ob izpadu za CNO ali VCO Ponastavitev uporabniškega gesla iz konzole uporabniki in računalniki storitve Active Directory (dsa.msc) Ustvarjanje novega uporabnika v konzoli uporabniki in računalniki storitve Active Directory (dsa.msc) Spreminjanje gesla za naprave, ki so pridružene domeni drugega ponudnika Če id dogodka 37 po namestitvi posodobitev sistema Windows, izdanih 9. novembra 2021 ali novejše, en teden ni prikazan in je PacRequestorEnforcement »1« ali »2«, to na vaše okolje ne vpliva. Če nastavite PacRequestorEnforcement = 1, je ID dogodka 37 zabeležen kot opozorilo, vendar bodo zahteve za spremembo gesla uspele in ne bodo vplivale na uporabnike. Če nastavite PacRequestorEnforcement = 2, zahteve za spremembo gesla ne bodo uspele in bodo povzročile, da zgoraj navedene operacije prav tako ne bodo uspele.	Ta težava je bila odpravljena v naslednjih posodobitvah: Windows 11 – KB5011563 Windows Server 2022 – KB5011558 Windows 10 različica 20H2, Windows 10 različica 21H1 in Windows 10, različica 21H2 – KB5011543 Windows 10, različica 1809, in Windows Server 2019 – KB5011551 Windows 10, različica 1607, in Windows Server 2016 – KB5012596 Windows Server 2012 R2 – KB5012670 Windows Server 2012 – KB5012666 Windows Server 2008 R2 – KB5012649 Windows Server 2008 s servisnim paketom SP2 – KB5012632

Simptom

Rešitev

Po namestitvi posodobitev sistema Windows, ki so bile izdane 9. novembra 2021 ali novejše v krmilnikih domene, bodo nekateri uporabniki morda videli nov ID dogodka nadzora 37, ki je zabeležen po določeni nastavitvi gesla ali spreminjanju postopkov, kot so:

Posodobitev ali popravilo preklopa gruče za preklop ob izpadu za CNO ali VCO
Ponastavitev uporabniškega gesla iz konzole uporabniki in računalniki storitve Active Directory (dsa.msc)
Ustvarjanje novega uporabnika v konzoli uporabniki in računalniki storitve Active Directory (dsa.msc)
Spreminjanje gesla za naprave, ki so pridružene domeni drugega ponudnika

Če id dogodka 37 po namestitvi posodobitev sistema Windows, izdanih 9. novembra 2021 ali novejše, en teden ni prikazan in je PacRequestorEnforcement »1« ali »2«, to na vaše okolje ne vpliva.

Če nastavite PacRequestorEnforcement = 1, je ID dogodka 37 zabeležen kot opozorilo, vendar bodo zahteve za spremembo gesla uspele in ne bodo vplivale na uporabnike.

Če nastavite PacRequestorEnforcement = 2, zahteve za spremembo gesla ne bodo uspele in bodo povzročile, da zgoraj navedene operacije prav tako ne bodo uspele.

Ta težava je bila odpravljena v naslednjih posodobitvah:

Windows 11 – KB5011563
Windows Server 2022 – KB5011558
Windows 10 različica 20H2, Windows 10 različica 21H1 in Windows 10, različica 21H2 – KB5011543
Windows 10, različica 1809, in Windows Server 2019 – KB5011551
Windows 10, različica 1607, in Windows Server 2016 – KB5012596
Windows Server 2012 R2 – KB5012670
Windows Server 2012 – KB5012666
Windows Server 2008 R2 – KB5012649
Windows Server 2008 s servisnim paketom SP2 – KB5012632

Pogosta vprašanja

V1 Kaj se zgodi, če imam mešanico krmilnikov domene imenika Active Directory, ki se posodabljajo in ne posodobijo?

A1. Mešanica krmilnikov domene, ki se posodabljajo in ne posodabljajo, vendar imajo privzeto vrednost registrskega ključa PacRequestorEnforcement 1, je združljiva med seboj. Vendar Microsoft priporoča, da krmilniki domene niso posodobljeni v okolju.

V2 Kaj se zgodi, če imam mešanico krmilnikov domene imenika Active Directory, ki imajo različne vrednosti PacRequestorEnforcement?

A2. Mešanica krmilnikov domene, ki imajo vrednosti PacRequestorEnforcement 0 in 1, je združljiva med seboj. Mešanica krmilnikov domene, ki imajo vrednosti PacRequestorEnforcement 1 in 2, je združljiva med seboj. Mešanica krmilnikov domene, ki imajo vrednosti PacRequestorEnforcement 0 in 2, ni združljiva med seboj in lahko povzroči obrekovane napake. Dodatne podrobnosti najdete v razdelku Informacije o registrskem ključu.