AŽURIRA 20. mart 2023. – Odeljak "Dostupnost"
Rezime
Remote Protocol Distributed Component Object Model (DCOM) je protokol za izlaženje objekata aplikacije pomoću poziva udaljene procedure (RPC pozivi). DCOM se koristi za komunikaciju između softverskih komponenti umreženih uređaja. Za CVE-2021-26414 neophodne su oštre promene u DCOM-u. Zato preporučujemo da proverite da li klijentske ili serverske aplikacije u okruženju koje koriste DCOM ili RPC rade kao što se očekuje sa omogućenim oštre promene.
Beleške Preporučujemo da instalirate najnoviju dostupnu bezbednosnu ispravku. Oni pružaju naprednu zaštitu od najnovijih bezbednosnih pretnji. One takođe pružaju mogućnosti koje smo dodali podršci migraciji. Dodatne informacije i kontekst o tome kako očvršćamo DCOM potražite u članku Očvršćavanje DCOM potvrde identiteta : šta treba da znate.
Prva faza ispravki za DCOM objavljena je 8. juna 2021. U toj ispravki, DCOM ojačavanje je podrazumevano onemogućeno. Možete da ih omogućite tako što ćete izmeniti registrator kao što je opisano u dolenavedenom odeljku "Postavka registratora da biste omogućili ili onemogućili ojačene promene". Druga faza ispravki za DCOM objavljena je 14. juna 2022. To je promenilo otežavanje u podrazumevano omogućeno, ali je zadržalo mogućnost onemogućavanja promena pomoću postavki ključa registratora. Poslednja faza DCOM ispravki biće objavljena u martu 2023. On će omogućiti DCOM ojačavanje i ukloniti mogućnost da ga onemogućite.
Vremenskoj osi
|
Ažuriranje izdanja |
Promena ponašanja |
|
8. jun 2021. |
1. faza izdanja – Ojacavanje promena je podrazumevano onemogućeno, ali sa mogućnostim da ih omogućite pomoću ključa registratora. |
|
14. jun 2022. |
2. faza izdanja – Ojacavanje promena je podrazumevano omogućeno, ali sa mogućnostim da ih onemogućite pomoću ključa registratora. |
|
14. mart 2023. |
3. faza – Ojacavanje promena je podrazumevano omogućeno bez mogućnosti da ih onemogućite. Do sada morate da rešite sve probleme sa kompatibilnošću sa otežjućim promenama i aplikacijama u okruženju. |
Testiranje kompatibilnosti DCOM očvršćavanja
Novi događaji DCOM greške
Da bismo vam pomogli da identifikujete aplikacije koje imaju probleme sa kompatibilnošću kada omogućimo promene Očvršćavanja DCOM zaštite, dodali smo nove događaje DCOM grešaka u sistemsku evidenciju. Pogledajte dolenavedene tabele. Sistem će evidentirati ove događaje ako otkrije da DCOM klijentske aplikacije pokušava da aktivira DCOM server koristeći nivo potvrde identiteta koji je manji od RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Možete da pratite klijentski uređaj iz evidencije događaja na strani servera i koristite evidencije događaja na strani klijenta da biste pronašli aplikaciju.
Događaji servera - Naznačite da server prima zahteve nižeg nivoa
|
ID događaja |
Poruku |
|---|---|
|
10036 |
"Smernice za nivo potvrde identiteta na strani servera ne dozvoljavaju korisniku %1\%2 SID (%3) sa adrese %4 da aktivira DCOM server. Podignite nivo potvrde identiteta aktivacije najmanje da RPC_C_AUTHN_LEVEL_PKT_INTEGRITY u klijentskom aplikaciji". (%1 – domen, %2 – korisničko ime, %3 – SID korisnika, %4 – IP adresa klijenta) |
Događaji klijenta – Označava koja aplikacija šalje zahteve nižeg nivoa
|
ID događaja |
Poruku |
|---|---|
|
10037 |
"Aplikacija %1 sa PID-om %2 zahteva da aktivira CLSID %3 na računaru %4 sa izričito postavljenim nivoom potvrde identiteta na %5. Najniži nivo potvrde identiteta aktivacije koji zahteva DCOM je 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Da biste podigli nivo potvrde identiteta aktivacije, obratite se prodavcu aplikacije." |
|
10038 |
"Aplikacija %1 sa PID-om %2 zahteva da aktivira CLSID %3 na računaru %4 sa podrazumevanim nivoom potvrde identiteta aktivacije na %5. Najniži nivo potvrde identiteta aktivacije koji zahteva DCOM je 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Da biste podigli nivo potvrde identiteta aktivacije, obratite se prodavcu aplikacije." (%1 – putanja aplikacije, %2 – PID aplikacije, %3 – CLSID COM klase koju aplikacija zahteva za aktiviranje, %4 – Ime računara, %5 – vrednost nivoa potvrde identiteta) |
Raspoloživost
Ovi događaji grešaka dostupni su samo za podskup verzija operativnog sistema Windows; pogledajte dolenavedenu tabelu.
|
Verzija operativnog sistema Windows |
Dostupno dana ili posle ovih datuma |
|---|---|
|
Windows Server 2022 |
27. septembar 2021. |
|
Windows 10, verzija 2004, Windows 10, verzija 20H2, Windows 10, verzija 21H1 |
1. septembar 2021. |
|
Windows 10, verzija 1909 |
26. avgust 2021. |
|
Windows Server 2019, Windows 10, verzija 1809 |
26. avgust 2021. |
|
Windows Server 2016, Windows 10, verzija 1607 |
14. septembar 2021. |
|
Windows Server 2012 R2 i Windows 8.1 |
12. oktobar 2021. |
|
Windows 11, verzija 22H2 |
30. septembar 2022. |
Zahtev na strani klijenta za zakrpi za automatsko unošenje
Nivo potvrde identiteta za sve zahteve za aktivacijom koji nisu anonimni
Da bismo smanjili probleme sa kompatibilnošću aplikacija, automatski smo podigli nivo potvrde identiteta za sve zahteve za ne-anonimnom aktivacijom sa Windows D RPC_C_AUTHN_LEVEL_PKT_INTEGRITY COM klijenata na minimum. Uz ovu promenu, većina zahteva DCOM klijenta zasnovanih na operativnom sistemu Windows biće automatski prihvaćena sa omogućenim DCOM ojačajućim promenama na strani servera bez ikakve dalje izmene DCOM klijenta. Pored toga, većina Windows DCOM klijenata će automatski raditi sa DCOM oštvršenim promenama na strani servera bez ikakve dalje izmene DCOM klijenta.
Beleške Ova zakrpa će i dalje biti uključena u kumulativne ispravke.
Vremenska osa ažuriranja zakrpa
Od početnog izdanja u novembru 2022, zakrpa za automatsko podizanje je imala nekoliko ispravki.
-
Ispravka za novembar 2022.
-
Ova ispravka je automatski podigla nivo potvrde identiteta aktivacije na integritet paketa. Ova promena je podrazumevano onemogućena u sistemima Windows Server 2016 i Windows Server 2019.
-
-
Ispravka za decembar 2022.
-
Novembar je podrazumevano omogućena za Windows Server 2016 i Windows Server 2019.
-
Ova ispravka je takođe rešila problem koji je uticao na anonimnu aktivaciju u sistemima Windows Server 2016 i Windows Server 2019.
-
-
Ispravka iz januara 2023.
-
Ova ispravka je rešila problem koji je uticao na anonimnu aktivaciju na platformama od Windows Server 2008 do Windows 10 (početna verzija objavljena u julu 2015.).
-
Ako ste instalirali kumulativne bezbednosne ispravke od januara 2023. na klijente i servere, oni će imati potpuno omogućenu najnoviju automatsko podebljanje zakrpa.
Postavka registratora za omogućavanje ili onemogućavanje oštećujućih promena
Tokom faza vremenske ose u kojima možete da omogućite ili onemogućite oštećujuće promene za CVE-2021-26414, možete da koristite sledeći ključ registratora:
-
Putanja: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Ime vrednosti: "RequireIntegrityActivationAuthenticationLevel"
-
Tip: dword
-
Podaci o vrednosti: podrazumevano= 0x00000000 znači onemogućeno. 0x00000001 znači omogućeno. Ako ova vrednost nije definisana, podrazumevano će biti omogućena.
Beleške Podatke o vrednosti morate da unesete u heksadecimalni format.
Vaћno Morate ponovo pokrenuti uređaj nakon podešavanja ovog ključa registratora da bi on vršen.
Beleške Omogućavanjem gorenavedenog ključa registratora DCOM serveri nameću Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY ili noviju verziju za aktivaciju. Ovo ne utiče na anonimnu aktivaciju (aktivacija korišćenjem nivoa potvrde identiteta RPC_C_AUTHN_LEVEL_NONE). Ako DCOM server dozvoljava anonimnu aktivaciju, ona će i dalje biti dozvoljena čak i sa omogućenim promenama DCOM ojačavanja.
Beleške Ova vrednost registratora ne postoji podrazumevano; morate da ga kreirate. Windows će je pročitati ako postoji i neće ga zameniti.
Beleške Instalacija novijih ispravki neće promeniti niti će ukloniti postojeće stavke i postavke registratora.
