Posodobljeno 20. 3. 2024 – dodani sklici LDS
Povzetek
CVE-2021-42291 odpravlja ranljivost varnostnega obhoda, ki določenim uporabnikom omogoča nastavitev poljubnih vrednosti na varnostne občutljive atribute določenih predmetov, shranjenih v imeniku Active Directory (AD) ali lightweight directory Service (LDS). Če želite izkoristiti to ranljivost, mora uporabnik imeti zadostne pravice za ustvarjanje izpeljanih računalniških predmetov, kot je uporabnik, ki je dodelil dovoljenja CreateChild za računalniške predmete. Ta uporabnik je lahko ustvaril račun računalnika z dodajanjem protokola LDAP (Lightweight Directory Access Protocol), ki omogoča preveč pristranski dostop do atributa securityDescriptor . Poleg tega lahko ustvarjalci in lastniki spremenijo varnostne atribute, ko ustvarite račun. S tem lahko v določenih primerih izvedete povišanje pravic.
OpombaFunkcija sinhronizacije šolskih podatkov zabeleži dogodke 3050, 3053, 3051 in 3054 o stanju implicitnega dostopa do predmetov, tako kot velja za AD.
Mitigations in CVE-2021-42291 consist of:
-
Dodatno preverjanje pristnosti, ko uporabniki brez skrbniških pravic za domeno ali LDS poskusijo postopek dodajanja LDAP za predmet, ki je izpeljan iz računalnika. To vključuje privzeti način nadzora, ki nadzira, kdaj pride do takšnih poskusov, ne da bi pri tem prišlo do motenj v zahtevi in načinu uveljavljanja, ki blokira takšne poskuse.
-
Začasna odstranitev pravic implicitnega lastnika, ko uporabniki brez skrbniških pravic poskušajo operacijo LDAP Modify v atributu securityDescriptor . Izvede se preverjanje, s katerim se potrdi, ali lahko uporabnik piše varnostni opis brez pravic implicitnega lastnika. To vključuje tudi način nadzora po privzetem, ki nadzira, kdaj pride do takšnih poskusov, ne da bi pri tem prišlo do motenj v zahtevi in načinu uveljavljanja, ki blokira takšne poskuse.
Ukrepajte
Če želite zaščititi svoje okolje in se izogniti izpadom, dokončajte te korake:
-
Posodobite vse naprave, ki gostijo krmilnik domene imenika Active Directory ali vlogo strežnika LDS, tako da namestite najnovejše posodobitve sistema Windows. DCs that have the november 9, 2021 or later updates will have the changes in Audit mode by default.
-
Spremljajte dnevnik dogodkov imeniške storitve ali LDS za dogodke 3044–3056 v krmilnikih domene in strežnikih LDS, ki imajo posodobitve sistema Windows z dne 9. novembra 2021 ali novejšo. Zabeleženi dogodki označujejo, da ima lahko uporabnik pretirane pravice za ustvarjanje računov računalnika s poljubnim atributom, občutljivim na varnost. Morebitne nepričakovane scenarije prijavite Microsoftu s primerom podpore Premier ali Unified Support ali središča za povratne informacije. (Primer teh dogodkov je na voljo v razdelku Novo dodani dogodki.)
-
Če način nadzora ne zazna nobenih nepričakovanih pravic za dovolj dolgo, preklopite v način uveljavljanja in tako zagotovite, da ni negativnih rezultatov. Morebitne nepričakovane scenarije prijavite Microsoftu s primerom podpore Premier ali Unified Support ali središča za povratne informacije.
Časovna usklajenost posodobitev sistema Windows
Te posodobitve sistema Windows bodo izdane v dveh fazah:
-
Začetna uvedba – uvod v posodobitev, vključno s privzetim nadzorom, načini uveljavljanja ali onemogočanja, ki jih je mogoče konfigurirati z atributom dSHeuristics .
-
Končna uvedba – privzeta uvedba.
9. november 2021: faza začetne uvedbe
Faza začetnega uvajanja se začne s posodobitvijo sistema Windows, izdano 9. novembra 2021. Ta izdaja doda nadzor dovoljenj, ki so jih nastavili uporabniki brez skrbniških pravic domene med ustvarjanjem ali spreminjanjem računalnikovih predmetov ali predmetov, izpeljanih iz računalnika. Doda tudi način uveljavljanja in onemogočanja. Globalni način lahko nastavite za vsak gozd imenika Active Directory z atributom dSHeuristics .
(Posodobljeno 15. 12. 2023) Faza končnega uvajanja
Faza končne uvedbe se lahko začne, ko dokončate korake, navedene v razdelku »Ukrepanje«. Če želite prestaviti v način uveljavljanja, upoštevajte navodila v razdelku Navodila za uvedbo, da nastavite 28. in 29. bit na atributu dSHeuristics . Nato spremljajte dogodke 3044-3046. Prijavijo se, ko je način uveljavljanja blokiral postopek dodajanja ali prilagajanja LDAP, ki je bil morda že dovoljen v načinu nadzora.
Navodila za uvedbo
Nastavitev informacij o konfiguraciji
Po namestitvi CVE-2021-42291, znaki 28 in 29 atributa dSHeuristics nadzorujejo delovanje posodobitve. Atribut dSHeuristics obstaja v vsakem gozdu imenika Active Directory in vsebuje nastavitve za celoten gozd. Atribut dSHeuristics je atribut predmeta "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD) ali "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS). Za več informacij glejte atributa 6.1.1.2.4.1.2 dSHeuristics in DS-Heuristics .
Znak 28 – dodatna preverjanja pristnosti za postopke dodajanja LDAP
0: Omogočen je način nadzora po privzetem. Dogodek je zabeležen, ko uporabniki brez skrbniških pravic za domene nastavljajo varnostni deskriptor ali druge atribute vrednostim, ki bi jim morda podelili prekomerna dovoljenja, ki bi lahko omogočala prihodnje izkoriščanje, v novih, računalniško izpeljanih predmetih AD.
1: Način uveljavljanja je omogočen. To uporabnikom brez skrbniških pravic za domene preprečuje nastavitev varnostnega deskriptorja ali drugih atributov na vrednosti, ki bi lahko podelili prekomerna dovoljenja za predmete AD, izpeljane iz računalnika. Dogodek je zabeležen tudi v dnevnik, ko pride do tega.
2: Onemogoči posodobljen nadzor in ne uveljavi dodatne varnosti. Ni priporočeno.
Primer: Če v gozdu niste imeli omogočenih drugih nastavitev dSHeuristics in želite preklopiti na način uveljavljanja za dodatno preverjanje pristnosti AuthZ, morate atribut dSHeuristics nastaviti na:
"0000000001000000000200000001"
Znaki, ki so nastavljeni v tem primeru, so:
10th char: vrednost mora biti nastavljena na 1, če je atribut dSHeuristics vsaj 10 znakov
20th char: vrednost mora biti nastavljena na 2, če je atribut dSHeuristics vsaj 20 znakov
28th char: Must be set to 1 to enable Enforcement mode for Additional AuthZ verification
Character 29 – Začasna odstranitev implicitnega lastnika za operacije LDAP Modify
0: Omogočen je način nadzora po privzetem. Dogodek je zabeležen, ko uporabniki brez skrbniških pravic za domeno nastaviti varnostni deskriptor na vrednosti, ki bi lahko omogočile prekomerno dovoljenje, ki bi lahko omogočalo prihodnje izkoriščanje, v obstoječih računalniško izpeljanih predmetih AD.
1: Način uveljavljanja je omogočen. Tako uporabnikom brez skrbniških pravic domene preprečite nastavitev varnostnega deskriptorja na vrednosti, ki bi morda podelili prekomerna dovoljenja za obstoječe računalniško izpeljane predmete AD. Dogodek je zabeležen tudi v dnevnik, ko pride do tega.
2:Onemogoči posodobljen nadzor in ne uveljavi dodatne varnosti. Ni priporočeno.
Primer: Če ste v gozdu nastavili le zastavico Dodatna preverjanja pristnosti AuthZ in želite preklopiti na način uveljavljanja za začasno implicitno odstranitev lastništva, morate atribut dSHeuristics nastaviti na:
"00000000010000000002000000011"
Znaki, ki so nastavljeni v tem primeru, so:
10th char: vrednost mora biti nastavljena na 1, če je atribut dSHeuristics vsaj 10 znakov
20th char: vrednost mora biti nastavljena na 2, če je atribut dSHeuristics vsaj 20 znakov
28th char: Must be set to 1 to enable Enforcement mode for Additional AuthZ verification
29th char: Če želite omogočiti način uveljavljanja za začasno implicitno odstranitev lastništva, morate nastaviti na 1.
Novo dodani dogodki
Nova posodobitev sistema Windows z dne 9. novembra 2021 bo dodala tudi nove dnevnike dogodkov.
Dogodki spremembe načina – dodatno preverjanje pristnosti AuthZ za postopke dodajanja LDAP
Dogodki, do katerih pride, ko se spremeni bit 28 atributa dSHeuristics , ki spremeni način dodatnih preverjanj AuthZ za postopke dodatka LDAP v posodobitvi.
|
Dnevnik dogodkov |
Imeniške storitve |
|
Vrsta dogodka |
Informativne |
|
ID dogodka |
3050 |
|
Besedilo dogodka |
Imenik je bil konfiguriran za uveljavljanje pooblastila za posamezne atribute med postopki dodajanja LDAP. To je najbolj varna nastavitev in nadaljnje ukrepanje ni potrebno. |
|
Dnevnik dogodkov |
Imeniške storitve |
|
Vrsta dogodka |
Opozorilo |
|
ID dogodka |
3051 |
|
Besedilo dogodka |
Imenik je bil konfiguriran tako, da med postopkom dodajanja LDAP ne vsili pooblastila za posamezen atribut. Dogodki opozorila bodo zabeleženi, vendar zahteve ne bodo blokirane. Ta nastavitev ni varna in jo je treba uporabljati le kot začasni korak za odpravljanje težav. Preglejte predlagane ublažitve posledic na spodnji povezavi. |
|
Dnevnik dogodkov |
Imeniške storitve |
|
Vrsta dogodka |
Napaka |
|
ID dogodka |
3052 |
|
Besedilo dogodka |
Imenik je bil konfiguriran tako, da med postopkom dodajanja LDAP ne vsili pooblastila za posamezen atribut. Nobeni dogodki ne bodo zabeleženi, zahteve pa ne bodo blokirane. Ta nastavitev ni varna in jo je treba uporabljati le kot začasni korak za odpravljanje težav. Preglejte predlagane ublažitve posledic na spodnji povezavi. |
Dogodki spremembe načina – začasna odstranitev pravic implicitnega lastnika
Dogodki, do katerih pride, ko se spremeni bit 29 atributa dSHeuristics , kar spremeni način začasne odstranitve dela posodobitve s pravicami implicitnega lastnika.
|
Dnevnik dogodkov |
Imeniške storitve |
|
Vrsta dogodka |
Informativne |
|
ID dogodka |
3053 |
|
Besedilo dogodka |
Imenik je bil konfiguriran tako, da blokira implicitne pravice lastnika pri začetni nastavitvi ali spreminjanju atributa nTSecurityDescriptor med postopkom dodajanja in spreminjanja LDAP. To je najbolj varna nastavitev in nadaljnje ukrepanje ni potrebno. |
|
Dnevnik dogodkov |
Imeniške storitve |
|
Vrsta dogodka |
Opozorilo |
|
ID dogodka |
3054 |
|
Besedilo dogodka |
Imenik je bil konfiguriran tako, da omogoča implicitne pravice lastnika pri začetni nastavitvi ali spreminjanju atributa nTSecurityDescriptor med postopkom dodajanja in spreminjanja LDAP. Dogodki opozorila bodo zabeleženi, vendar zahteve ne bodo blokirane. Ta nastavitev ni varna in jo je treba uporabljati le kot začasni korak za odpravljanje težav. |
|
Dnevnik dogodkov |
Imeniške storitve |
|
Vrsta dogodka |
Napaka |
|
ID dogodka |
3055 |
|
Besedilo dogodka |
Imenik je bil konfiguriran tako, da omogoča implicitne pravice lastnika pri začetni nastavitvi ali spreminjanju atributa nTSecurityDescriptor med postopkom dodajanja in spreminjanja LDAP. Nobeni dogodki ne bodo zabeleženi, zahteve pa ne bodo blokirane. Ta nastavitev ni varna in jo je treba uporabljati le kot začasni korak za odpravljanje težav. |
Dogodki v načinu nadzora
Dogodki, ki se zgodijo v načinu nadzora za beleženje morebitnih varnostnih težav z operacijo dodajanja ali prilagajanja LDAP.
|
Dnevnik dogodkov |
Imeniške storitve |
|
Vrsta dogodka |
Opozorilo |
|
ID dogodka |
3047 |
|
Besedilo dogodka |
Imeniška storitev je zaznala zahtevo za dodajanje LDAP za ta predmet, ki bi bil običajno blokiran zaradi naslednjih varnostnih razlogov. Odjemalec ni imel dovoljenja za pisanje enega ali več atributov, vključenih v zahtevo za dodajanje, na podlagi privzetega spojenega varnostnega deskriptorja. Zahteva je bila dovoljena v nadaljevanju, ker je imenik trenutno konfiguriran tako, da je v načinu samo za nadzor za to varnostno preverjanje. DN predmeta: <DN ustvarjenega predmeta> Predmetni razred: <predmeta predmeta> Uporabnik: <, ki je poskušal dodati LDAP,> Naslov IP odjemalca: <naslova IP pošiljatelja> Varnostni opis: <SD, ki je bil poskus> |
|
Dnevnik dogodkov |
Imeniške storitve |
|
Vrsta dogodka |
Opozorilo |
|
ID dogodka |
3048 |
|
Besedilo dogodka |
Imeniška storitev je zaznala zahtevo za dodajanje LDAP za ta predmet, ki bi bil običajno blokiran zaradi naslednjih varnostnih razlogov. Odjemalec je v zahtevo za dodajanje vključil atribut nTSecurityDescriptor, vendar ni imel izrecnega dovoljenja za pisanje enega ali več delov novega varnostnega deskriptorja na podlagi privzetega spojenega varnostnega deskriptorja. Zahteva je bila dovoljena v nadaljevanju, ker je imenik trenutno konfiguriran tako, da je v načinu samo za nadzor za to varnostno preverjanje. DN predmeta: <DN ustvarjenega predmeta> Predmetni razred: <predmeta predmeta> Uporabnik: <, ki je poskušal dodati LDAP,> Naslov IP odjemalca: <naslova IP pošiljatelja> |
|
Dnevnik dogodkov |
Imeniške storitve |
|
Vrsta dogodka |
Opozorilo |
|
ID dogodka |
3049 |
|
Besedilo dogodka |
Imeniška storitev je zaznala zahtevo za spreminjanje LDAP za ta predmet, ki bi bil običajno blokiran zaradi naslednjih varnostnih razlogov. Odjemalec je v zahtevo za dodajanje vključil atribut nTSecurityDescriptor, vendar ni imel izrecnega dovoljenja za pisanje enega ali več delov novega varnostnega deskriptorja na podlagi privzetega spojenega varnostnega deskriptorja. Zahteva je bila dovoljena v nadaljevanju, ker je imenik trenutno konfiguriran tako, da je v načinu samo za nadzor za to varnostno preverjanje. DN predmeta: <DN ustvarjenega predmeta> Predmetni razred: <predmeta predmeta> Uporabnik: <, ki je poskušal dodati LDAP,> Naslov IP odjemalca: <naslova IP pošiljatelja> |
|
Dnevnik dogodkov |
Imeniške storitve |
|
Vrsta dogodka |
Opozorilo |
|
ID dogodka |
3056 |
|
Besedilo dogodka |
Imeniška storitev je obdelala poizvedbo za atribut sdRightsEffective na predmetu, ki je naveden spodaj. Vrnjena maska dostopa je WRITE_DAC, vendar le zato, ker je bil imenik konfiguriran tako, da omogoča implicitne pravice lastnika, ki ni varna nastavitev. DN predmeta: <DN ustvarjenega predmeta> Uporabnik: <, ki je poskušal dodati LDAP,> Naslov IP odjemalca: <naslova IP pošiljatelja> |
Način uveljavljanja – napake pri dodajanju LDAP
Dogodki, do katerih pride, ko je operacija dodajanja LDAP zavrnjena.
|
Dnevnik dogodkov |
Imeniške storitve |
|
Vrsta dogodka |
Opozorilo |
|
ID dogodka |
3044 |
|
Besedilo dogodka |
Imeniška storitev je zavrnila zahtevo za dodajanje LDAP za ta predmet. Zahteva je bila zavrnjena, ker odjemalec ni imel dovoljenja za pisanje enega ali več atributov, vključenih v zahtevo za dodajanje, na podlagi privzetega varnostnega deskriptorja za združevanje. DN predmeta: <DN ustvarjenega predmeta> Predmetni razred: <predmeta predmeta> Uporabnik: <, ki je poskušal dodati LDAP,> Naslov IP odjemalca: <naslova IP pošiljatelja> Varnostni opis: <SD, ki je bil poskus> |
|
Dnevnik dogodkov |
Imeniške storitve |
|
Vrsta dogodka |
Opozorilo |
|
ID dogodka |
3045 |
|
Besedilo dogodka |
Imeniška storitev je zavrnila zahtevo za dodajanje LDAP za ta predmet. Zahteva je bila zavrnjena, ker je odjemalec v zahtevo za dodajanje vključil atribut nTSecurityDescriptor, ni pa imel izrecnega dovoljenja za pisanje enega ali več delov novega varnostnega deskriptorja na podlagi privzetega spojenega varnostnega deskriptorja. DN predmeta: <DN ustvarjenega predmeta> Predmetni razred: <predmeta predmeta> Uporabnik: <, ki je poskušal dodati LDAP,> Naslov IP odjemalca: <naslova IP pošiljatelja> |
Način uveljavljanja – napake pri spreminjanju LDAP
Dogodki, do katerih pride, ko je operacija LDAP Modify zavrnjena.
|
Dnevnik dogodkov |
Imeniške storitve |
|
Vrsta dogodka |
Opozorilo |
|
ID dogodka |
3046 |
|
Besedilo dogodka |
Imeniška storitev je zavrnila zahtevo za spreminjanje LDAP za ta predmet. Zahteva je bila zavrnjena, ker je odjemalec v zahtevo za spreminjanje vključil atribut nTSecurityDescriptor, ni pa imel izrecnega dovoljenja za pisanje enega ali več delov novega varnostnega deskriptorja na podlagi obstoječega varnostnega deskriptorja predmeta. DN predmeta: <DN ustvarjenega predmeta> Predmetni razred: <predmeta predmeta> Uporabnik: <, ki je poskušal dodati LDAP,> Naslov IP odjemalca: <naslova IP pošiljatelja> |
Pogosta vprašanja
V1 Kaj se zgodi, če imam mešanico krmilnikov domene imenika Active Directory, ki se posodabljajo in ne posodobijo?
A1 Računalniki, ki niso posodobljeni, ne beležijo dogodkov, povezanih s to ranljivostjo.
V2 Kaj moram narediti za krmilnike Read-Only domen (RODCs)?
A2 Nič; Operacij za dodajanje in spreminjanje LDAP ni mogoče ciljati na rodovne računalnike.
Q3 Imam izdelek ali proces drugega ponudnika, ki ne uspe, ko omogočite način uveljavljanja. Ali moram storitvi ali skrbniku uporabniške domene dodeliti pravice?
A3 Na splošno ne priporočamo, da dodate storitev ali uporabnika v skupino Skrbniki domene kot prvo rešitev za to težavo. Preglejte dnevnike dogodkov, da si ogledate, katera določena dovoljenja so potrebna, in razmislite o dodeljevanju ustrezno omejenih pravic za tega uporabnika v ločeni organizacijski enoto, ki je določena za ta namen.
V4 Prikažem dogodke nadzora tudi za strežnike LDS. Zakaj prihaja do tega?
A4Vse navedeno velja tudi za STORITEV SINHRONIZACIJE šolskih podatkov (AD LDS), čeprav je zelo nenavadno, da so v LDS-jih računalniški predmeti. Sprejeti je treba tudi korake za ublažitev posledic, da se omogoči zaščita za storitev AD LDS, ko način nadzora ne zazna nobenih nepričakovanih pravic.
