AŽURIRA 14. mart 2023.
Rezime
CVE-2021-42287 rešava bezbednosnu zaobilaženje ranjivosti koja utiče na Kerberos Privilege Attribute Certificate (PAC) i dozvoljava potencijalnim napadacima da imitira kontrolere domena. Da bi iskoristio tu ranjivost, ugroženi nalog domena može dovesti do toga da Key Distribution Center (KDC) kreira tiket za uslugu sa višim nivoom privilegija od ugroženog naloga. To postiže tako što sprečava KDC da identifikuje za koji nalog je tiket za uslugu viših privilegija.
Poboljšani proces potvrde identiteta u CVE-2021-42287 dodaje nove informacije o prvobitnom pošiljaoca zahteva PACs of Kerberos Ticket-Granting Tiketi (TGT). Kasnije, kada se generiše tiket za uslugu Kerberos za nalog, novi proces potvrde identiteta će potvrditi da je nalog koji je zahtevao TGT isti nalog na koji se upućuje u tiketu za uslugu.
Nakon instaliranja Windows ispravki od 9. novembra 2021. ili novije verzije, PAC-ovi će biti dodati u TGT svih naloga domena, čak i onih koji su prethodno odlučili da odbiju PAC datoteke.
Preduzimanje radnje
Da biste zaštitili okruženje i izbegli prekcije, dovršite sledeće korake:
-
Ažurirajte sve uređaje koji hostuje ulogu kontrolera domena aktivnog direktorijuma tako što ćete instalirati bezbednosnu ispravku od 9. novembra 2021. i 14. novembra 2021. godine van mreže (OOB). Pronađite OOB KB broj za određeni operativni sistemu u nastavku.
OS
KB broj
Windows Server 2016
Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
-
Nakon instaliranja bezbednosne ispravke od 9. novembra 2021. i OOB ispravke od 14. novembra 2021. na svim Active Directory kontrolere domena najmanje 7 dana, preporučujemo da omogućite režim sprovođenja na svim Active Directory kontrolere domena.
-
Počevši od ažuriranja (ažurirano) od 11. oktobra 2022. godine, režim sprovođenja će biti omogućen na svim Windows kontrolerima domena i biće potreban.
Podešavanje vremena ispravki za Windows - (ažurirano 31.1.23)
Ovi Windows Novosti će biti objavljeni u tri faze:
-
Početna primena – Uvod u ispravku, kao i ključ registratora PacRequestorEnforcement
-
Druga primena – Uklanjanje PacRequestorEnforcement vrednosti 0 (mogućnost onemogućavanja ključa registratora)
-
Faza sprovođenja – Režim sprovođenja je omogućen. Ova faza ukida ključ PacRequestorEnforcement i više ga ne čita
9. novembar 2021: Faza početne primene
Početna faza primene počinje windows ispravkom objavljenom 9. novembra 2021. godine. Ovo izdanje:
-
Dodaje zaštitu od CVE-2021-42287
-
Dodaje podršku za vrednost registratora PacRequestorEnforcement , što vam omogućava da ranije pređite na fazu sprovođenja
Umanjivanje se sastoji od instalacije Windows ispravki na svim uređajima koji hostuju ulogu kontrolera domena i kontrolera domena samo za čitanje (RODCs).
12. jul 2022: Druga faza raspoređivanja
Druga faza primene počinje ispravkom za Windows koja je objavljena 12. jula 2022. godine. Ova faza uklanja postavku PacRequestorEnforcement broja 0. Podešavanje usluge PacRequestorEnforcement na 0 nakon instaliranja ove ispravke imaće isti efekat kao postavljanje usluge PacRequestorEnforcement na 1. Kontrolere domena (DCs) će biti u režimu primene.
Beleške Ova faza nije neophodna ako PacRequestorEnforcement nikada nije bio postavljen na 0 u vašem okruženju. Ova faza obezbeđuje da se klijenti koji podese PacRequestorEnforcement preрu na 0pre faze sprovođenja.
Beleške Ova ispravka pretpostavlja da se svi kontrolori domena ažuriraju ispravkom za Windows od 9. novembra 2021. ili novijim.
11. oktobar 2022. godine: Faza sprovođenja - (ažurirano 31.1.23.
Izdanje od 11. oktobra 2022. prelazi sve active Directory kontrolera domena u fazu sprovođenja. Faza sprovođenja zastareva ključ PacRequestorEnforcement i više ga ne čita. Zbog toga Windows kontrolori domena koji su instalirali ispravku od 11. oktobra 2022. više neće biti kompatibilni sa:
-
Kontrolera domena koji nisu instalirali ispravke 9. novembra 2021. ili novije.
-
Kontroleri domena koji su instalirali ispravke od 9. novembra 2021. ili novije, ali još uvek nisu instalirali ispravku od 12. jula 2022. i koji imaju vrednost registratora PacRequestorEnforcement od 0.
Međutim, Windows kontrolori domena koji su instalirali ispravku od 11. oktobra 2022. ostaće kompatibilni sa:
-
Windows kontrolori domena koji su instalirali ispravke od 11. oktobra 2022. ili novije
-
Window domain controllers that have installed the9th, 2021 or later updates and have a PacRequestorEnforcement value or or 1 or 2
Informacije o ključu registratora
Nakon instaliranja zaštite CVE-2021-42287 u ispravkama za Windows objavljenim između 9. novembra 2021. i 14. juna 2022, biće dostupan sledeći ključ registratora:
Potključ registratora |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Vrednost |
PacRequestorEnforcement |
Tip podataka |
REG_DWORD |
Podataka |
1: Dodajte novi PAC korisnicima koji su potvrdili identitet pomoću Active Directory kontrolera domena koji ima instalirane ispravke od 9. novembra 2021. ili novije. Prilikom potvrde identiteta, ako korisnik ima novi PAC, validira se PAC. Ako korisnik nema novi PAC, dalje radnje se ne izvršavaju. Active Directory kontrolere domena u ovom režimu nalaze se u fazi primene. 2: Dodajte novi PAC korisnicima koji su potvrdili identitet pomoću Active Directory kontrolera domena koji ima instalirane ispravke od 9. novembra 2021. ili novije. Prilikom potvrde identiteta, ako korisnik ima novi PAC, validira se PAC. Ako korisnik nema novi PAC, potvrda identiteta je odbijena. Kontrolori domena aktivnog direktorijuma u ovom režimu nalaze se u fazi sprovođenja. 0: Onemogućavanje ključa registratora. Ne preporučuje se. Active Directory kontrolere domena u ovom režimu nalaze se u fazi Onemogućeno. Ova vrednost neće postojati nakon ispravki od 12. jula 2022. ili novije. Vaћno Postavka 0 nije kompatibilna sa postavkom 2. Može doći do poodmašnih grešaka ako se obe postavke koriste u okviru šume. Ako se koristi postavka 0, preporučujemo da podesite 0 (Onemogući) na postavku 1 (Primena) najmanje nedelju dana pre nego što se premestite na postavku 2 (režim sprovođenja). |
Podrazumevani |
1 (kada ključ registratora nije postavljen) |
Da li je potrebno ponovno pokretanje? |
Ne |
Događaji nadzora
Windows ispravka od 9. novembra 2021. će dodati i nove evidencije događaja.
PAC bez atributa
KDC nailazi na TGT bez bafera PAC atributa. Moguće je da drugi KDC u evidencijama ne sadrži ispravku ili je u onemogućenom režimu.
Evidencija događaja |
Sistem |
Tip događaja |
Upozorenje |
Izvor događaja |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID događaja |
35 |
Tekst događaja |
Centar za ključnu distribuciju (KDC) je naišao na tiket za dodelu tiketa (TGT) iz drugog KDC-a ("<KDC ime>") koji ne sadrži polje "PAC atributi". |
Tiket bez PAC
KDC nailazi na TGT ili drugi tiket za dokaze bez PAC-a. To sprečava KDC da nametne bezbednosne provere na tiketu.
Evidencija događaja |
Sistem |
Tip događaja |
Upozorenje tokom faze primene Greška tokom faze sprovođenja |
Izvor događaja |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID događaja |
36 |
Tekst događaja |
Centar za ključnu distribuciju (KDC) je naišao na tiket koji nije sadržao PAC prilikom obrade zahteva za drugi tiket. To je sprečilo pokretanje bezbednosnih provera i moglo bi da otvori bezbednosne ranjivosti. Klijent: <ime domena>\<ime> Tiket za: <ime usluge> |
Tiket bez zahteva
KDC nailazi na TGT ili drugi tiket za dokaze bez bafera PAC zahteva. KDC koji je napravio PAC verovatno ne sadrži ispravku ili je u onemogućenom režimu.
Beleške Važne informacije o događaju 37 potražite u odeljku Poznati problemi.
Evidencija događaja |
Sistem |
Tip događaja |
Upozorenje tokom faze primene Greška tokom faze sprovođenja |
Izvor događaja |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID događaja |
37 |
Tekst događaja |
Centar za ključnu distribuciju (KDC) je naišao na tiket koji ne sadrži informacije o nalogu koji je zahtevao tiket prilikom obrade zahteva za drugi tiket. To je sprečilo pokretanje bezbednosnih provera i moglo bi da otvori bezbednosne ranjivosti. Ticket PAC konstruiše: <KDC ime> Klijent: <ime domena>\<klijenta> Tiket za: <ime usluge> |
Neududaranje pošiljalaca zahteva
KDC nailazi na TGT ili drugi tiket sa dokazima, a nalog koji je zahtevao TGT ili tiket sa dokazima se ne podudara sa nalogom za koji je tiket za uslugu napravljen.
Evidencija događaja |
Sistem |
Tip događaja |
Greška |
Izvor događaja |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
ID događaja |
38 |
Tekst događaja |
Centar za ključnu distribuciju (KDC) je naišao na tiket koji je sadržala nedosledne informacije o nalogu koji je zahtevao tiket. To može da znači da je nalog preimenovan od izdavanja tiketa, što je možda deo pokušaja iskorišćavanja. Tiket PAC konstruiše: <KDC ime> Klijent: <ime domena>\<ime> Tiket za: <ime usluge> Zahtevanje SID naloga od aktivnog direktorijuma: <SID> Zahteva se SID naloga od tiketa: <SID> |
Poznati problemi
Simptom |
Zaobilazno rešenje |
---|---|
Nakon instalacije Windows ispravki objavljenih 9. novembra 2021. ili novijih verzija na upravljačima domena (DCs), neki klijenti će možda videti novi ID događaja nadzora 37 evidentiran nakon određene postavke lozinke ili promene operacija kao što su:
Ako ne vidite ID događaja 37 nakon instaliranja windows ispravki objavljenih 9. novembra 2021. ili novije sedmice, a PacRequestorEnforcement je "1" ili "2", to ne utiče na okruženje. Ako podesite PacRequestorEnforcement = 1, ID događaja 37 se evidentira kao upozorenje, ali zahtevi za promenu lozinke će uspeti i neće uticati na korisnike. Ako podesite PacRequestorEnforcement = 2, zahtevi za promenu lozinke neće uspeti i dovesti do toga da gorenavedene operacije takođe ne uspeju. |
Ovaj problem je rešen u sledećim ispravkama:
|
Najčešća pitanja
Q1 Šta se dešava ako imam mešavinu Active Directory kontrolera domena koji se ažuriraju i ne ažuriraju?
A1. Mešavina kontrolera domena koji se ažuriraju i ne ažuriraju, ali imaju podrazumevanu vrednost ključa registratora PacRequestorEnforcement od 1 kompatibilna su jedni sa drugima. Međutim, Microsoft uporno savetuje da ne koristite upravljače domenima koji se ažuriraju, a ne ažuriraju u okruženju.
Q2 Šta se dešava ako imam mešavinu Active Directory kontrolera domena koji imaju različite Vrednosti Usluge PacRequestorEnforcement?
A2. Mešavina kontrolera domena koji imaju vrednosti "PacRequestorEnforcement " vrednosti 0 i 1 kompatibilna su jedan sa drugim. Mešavina kontrolera domena koji imaju vrednosti "PacRequestorEnforcement " za 1 i 2 kompatibilna su jedan sa drugim. Mešavina kontrolera domena koji imaju vrednosti "PacRequestorEnforcement" vrednosti 0 i 2 nisu kompatibilni jedan sa drugim i mogu da dovode do po povremenog otkazivanja. Više detalja potražite u odeljku sa informacijama o ključu registratora.