Ažurirano 20.03.2024. – Dodate su LDS reference
Rezime
CVE-2021-42291 rešava bezbednosnu slabost koja određenim korisnicima omogućava da postanu proizvoljne vrednosti na bezbednosno osetljivim atributima određenih objekata uskladištenih u usluzi Active Directory (AD) ili Lightweight Directory Service (LDS). Da bi iskoristio ovu ranjivost, korisnik mora imati dovoljno privilegija za kreiranje objekta izvedenog na računaru, kao što je korisnik dodelio CreateChild dozvole za objekte računara. Taj korisnik može da kreira nalog računara koristeći Lightweight Directory Access Protocol (LDAP) Dodavanje poziva koji omogućava prekoračan pristup atributu securityDescriptor . Pored toga, autori i vlasnici mogu da menjaju bezbednosno osetljive atribute nakon kreiranja naloga. To se može iskoristiti za izvršavanje pune privilegije u određenim scenarijima.
BeleškeLDS će evidentirati događaje 3050, 3053, 3051 i 3054 o statusu implicitnog pristupa objektima, kao što to radi ID.
Umanjivanja u CVE-2021-42291 sastoje se od:
-
Dodatna verifikacija autorizacije kada korisnici bez domena ili LDS administratorskih prava pokušaju operaciju dodavanja LDAP-a za objekat izveden sa računarom. To uključuje režim nadzor po podrazumevanoj vrednosti koji nadgleda kada dođe do takvih pokušaja bez ometanja zahteva i režima sprovođenja koji blokira takve pokušaje.
-
Privremeno uklanjanje implicitnih privilegija vlasnika kada korisnici bez prava administratora domena pokušaju operaciju izmene LDAP-a na atributu securityDescriptor . Verifikacija potvrđuje da li će korisniku biti dozvoljeno da napiše opis bezbednosti bez implicitnih privilegija vlasnika. To obuhvata i režim nadzor po podrazumevanoj vrednosti koji nadgleda kada dođe do takvih pokušaja bez ometanja zahteva i režima sprovođenja koji blokira takve pokušaje.
Preduzimanje radnje
Da biste zaštitili okruženje i izbegli prekcije, dovršite sledeće korake:
-
Ažurirajte sve uređaje koji hostuju Active Directory kontroler domena ili ulogu LDS servera tako što ćete instalirati najnovije Windows ispravke. DC-i koji imaju ispravke od 9. novembra 2021. ili novije podrazumevano će imati promene u režimu nadzora.
-
Nadgledajte katalog usluga direktorijuma ili LDS evidenciju događaja za 3044-3056 događaje na kontrolerima domena i LDS serverima koji imaju ispravke za Windows od 9. novembra 2021. ili novije. Evidentirani događaji ukazuju na to da korisnik može imati prekomerne privilegije za kreiranje naloga računara sa proizvoljnim bezbednosno osetljivim atributima. Prijavite sve neočekivane scenarije korporaciji Microsoft pomoću slučaja Premier ili Objedinjene podrške ili čvorišta za povratne informacije. (Primer ovih događaja možete pronaći u odeljku Novododati događaji.)
-
Ako režim nadzora ne otkrije neočekivane privilegije dovoljno dugo, prebacite se na režim sprovođenja da biste se uverili da nema negativnih rezultata. Prijavite sve neočekivane scenarije korporaciji Microsoft pomoću slučaja Premier ili Objedinjene podrške ili čvorišta za povratne informacije.
Vremenski raspored ispravki za Windows
Ove ispravke za Windows će biti objavljene u dve faze:
-
Početna primena – Uvod u ispravku, uključujući režime nadzora po podrazumevanoj vrednosti, sprovođenje ili onemogućavanje koji se mogu konfigurirati pomoću atributa dSHeuristics .
-
Konačna primena – podrazumevana primena.
9. novembar 2021: Faza početne primene
Početna faza primene počinje windows ispravkom objavljenom 9. novembra 2021. godine. Ovo izdanje dodaje nadzor dozvola koje su postavili korisnici bez prava administratora domena tokom kreiranja ili izmene računara ili objekata izvedenih na računaru. Takođe dodaje režim sprovođenja i onemogućavanja. Možete globalno da podesite režim za svaku Active Directory šumu pomoću atributa dSHeuristics .
(Ažurirano 15.12.2023.) Završna faza primene
Konačna faza primene može da počne kada dovršite korake navedene u odeljku Preduzimanje radnje. Da biste prešli u režim sprovođenja, pratite uputstva u odeljku Uputstva za primenu da biste podesili 28. i 29. bit na atributu dSHeuristics . Zatim nadgledajte događaje 3044-3046. Oni izveštavaju kada je režim sprovođenja blokirao LDAP operaciju dodavanja ili izmene koja je možda ranije bila dozvoljena u režimu nadzora.
Uputstva za primenu
Informacije o podešavanju konfiguracije
Nakon instalacije CVE-2021-42291, znakovi 28 i 29 atributa dSHeuristics kontrolišu ponašanje ispravke . Atribut dSHeuristics postoji u okviru svake Active Directory šume i sadrži postavke za celu šumu. Atribut dSHeuristics je atribut "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD ) ili "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS). Više informacija potražite u člancima 6.1.1.2.1.2 dSHeuristics i DS-Heuristics .
Character 28 – Dodatne potvrde identiteta za LDAP operacije dodavanja
0: Omogućen je režim nadzora po podrazumevanoj vrednosti. Događaj se evidentira kada korisnici bez prava administratora domena podese klasu securityDescriptor ili druge atribute na vrednosti koje mogu da dodele suvišne dozvole, što potencijalno omogućava buduću eksploataciju, na novim AD objektima izvedenim na računaru.
1: Režim sprovođenja je omogućen. To sprečava korisnike koji nemaju administratorska prava domena da postavke securityDescriptor ili druge atribute na vrednosti koje mogu da dodele suvišne dozvole za AD objekte izvedene na računaru. Događaj se evidentira i kada se to desi.
2: Onemogućava ažurirani nadzor i ne nameće dodatnu bezbednost. Ne preporučuje se.
Primer: Ako u šumi niste imali omogućene druge dSHeuristics postavke i želite da se prebacite u režim sprovođenja radi dodatne potvrde identiteta, atribut dSHeuristics treba da bude podešen na:
"0000000001000000000200000001"
Znakovi koji su podešeni u ovom slučaju su:
10. znak : mora biti postavljen na 1 ako atribut dSHeuristics ima najmanje 10 znakova
20. znak : mora biti postavljen na 2 ako atribut dSHeuristics ima najmanje 20 znakova
28. znak: mora biti podešen na 1 da bi se omogućio režim sprovođenja za dodatnu potvrdu identiteta
Character 29 – Privremeno uklanjanje implicitnog vlasnika za LDAP operacije izmene
0: Omogućen je režim nadzora po podrazumevanoj vrednosti. Događaj se evidentira kada korisnici bez prava administratora domena podese klasu securityDescriptor na vrednosti koje mogu da dodele suvišne dozvole, što potencijalno dozvoljava buduću eksploataciju, na postojećim AD objektima izvedenim sa računara.
1: Režim sprovođenja je omogućen. To sprečava korisnike bez prava administratora domena da podebljaju securityDescriptor na vrednosti koje mogu da dodele prekomerne dozvole za postojeće AD objekte izvedene na računaru. Događaj se evidentira i kada se to desi.
2:Onemogućava ažurirani nadzor i ne nameće dodatnu bezbednost. Ne preporučuje se.
Primer: Ako je u šumi postavljena samo zastavica Additional AuthZ verifications dsHeuristics i želite da se prebacite u režim sprovođenja radi privremenog uklanjanja implicitnog vlasništva, atribut dSHeuristics treba da bude podešen na:
"00000000010000000002000000011"
Znakovi koji su podešeni u ovom slučaju su:
10. znak : mora biti postavljen na 1 ako atribut dSHeuristics ima najmanje 10 znakova
20. znak : mora biti postavljen na 2 ako atribut dSHeuristics ima najmanje 20 znakova
28. znak: mora biti podešen na 1 da bi se omogućio režim sprovođenja za dodatnu potvrdu identiteta
29. znak : mora biti postavljen na vrednost 1 da bi se omogućio režim sprovođenja za privremeno uklanjanje implicitnog vlasništva
Novi dodati događaji
Windows ispravka od 9. novembra 2021. će dodati i nove evidencije događaja.
Događaji promene režima – Dodatna potvrda identiteta za LDAP operacije dodavanja
Događaji koji se odvijaju kada se promeni 28. bit atributa dSHeuristics , što menja režim dodatnih AuthZ verifikacija za deo operacija dodavanja LDAP-a u ažuriranju.
|
Evidencija događaja |
Usluge direktorijuma |
|
Tip događaja |
Informaciono |
|
ID događaja |
3050 |
|
Tekst događaja |
Direktorijum je konfigurisan da nameće autorizovanje po atributu tokom LDAP operacija dodavanja. Ovo je najsigurnija postavka i dalje nije potrebna nikakva dalja radnja. |
|
Evidencija događaja |
Usluge direktorijuma |
|
Tip događaja |
Upozorenje |
|
ID događaja |
3051 |
|
Tekst događaja |
Direktorijum je konfigurisan tako da ne nameće autorizovanje po atributu tokom LDAP operacija dodavanja. Događaji upozorenja će biti evidentirani, ali nijedan zahtev neće biti blokiran. Ova postavka nije bezbedna i trebalo bi je koristiti samo kao privremeni korak za rešavanje problema. Pregledajte predložena umanjivanja u dolenavedenoj vezi. |
|
Evidencija događaja |
Usluge direktorijuma |
|
Tip događaja |
Greška |
|
ID događaja |
3052 |
|
Tekst događaja |
Direktorijum je konfigurisan tako da ne nameće autorizovanje po atributu tokom LDAP operacija dodavanja. Događaji neće biti evidentirani i nijedan zahtev neće biti blokiran. Ova postavka nije bezbedna i trebalo bi je koristiti samo kao privremeni korak za rešavanje problema. Pregledajte predložena umanjivanja u dolenavedenoj vezi. |
Događaji promene režima – privremeno uklanjanje prava implicitnog vlasnika
Događaji koji se odvijaju kada se promeni 29. bit atributa dSHeuristics , što menja režim privremenog uklanjanja implicitnog vlasnika prava u okviru ispravke.
|
Evidencija događaja |
Usluge direktorijuma |
|
Tip događaja |
Informaciono |
|
ID događaja |
3053 |
|
Tekst događaja |
Direktorijum je konfigurisan da blokira implicitne privilegije vlasnika prilikom početnog podešavanja ili izmene atributa nTSecurityDescriptor tokom LDAP operacija dodavanja i izmene. Ovo je najsigurnija postavka i dalje nije potrebna nikakva dalja radnja. |
|
Evidencija događaja |
Usluge direktorijuma |
|
Tip događaja |
Upozorenje |
|
ID događaja |
3054 |
|
Tekst događaja |
Direktorijum je konfigurisan tako da dozvoljava implicitne privilegije vlasnika prilikom početnog podešavanja ili izmene atributa nTSecurityDescriptor tokom LDAP operacija dodavanja i izmene. Događaji upozorenja će biti evidentirani, ali nijedan zahtev neće biti blokiran. Ova postavka nije bezbedna i trebalo bi je koristiti samo kao privremeni korak za rešavanje problema. |
|
Evidencija događaja |
Usluge direktorijuma |
|
Tip događaja |
Greška |
|
ID događaja |
3055 |
|
Tekst događaja |
Direktorijum je konfigurisan tako da dozvoljava implicitne privilegije vlasnika prilikom početnog podešavanja ili izmene atributa nTSecurityDescriptor tokom LDAP operacija dodavanja i izmene. Događaji neće biti evidentirani i nijedan zahtev neće biti blokiran. Ova postavka nije bezbedna i trebalo bi je koristiti samo kao privremeni korak za rešavanje problema. |
Događaji režima nadzora
Događaji koji se odvijaju u režimu nadzora za evidenciju potencijalnih bezbednosnih problema pomoću operacije dodavanja ili izmene LDAP-a.
|
Evidencija događaja |
Usluge direktorijuma |
|
Tip događaja |
Upozorenje |
|
ID događaja |
3047 |
|
Tekst događaja |
Usluga direktorijuma je otkrila zahtev za dodavanje LDAP-a za sledeći objekat koji bi obično bio blokiran iz sledećih bezbednosnih razloga. Klijent nije ima dozvolu da upisuje jedan ili više atributa uključenih u zahtev za dodavanje, na osnovu podrazumevanog objedinjenog opisa bezbednosti. Zahtevu je dozvoljeno da nastavi zato što je direktorijum trenutno konfigurisan da bude u režimu samo za nadzor za ovu bezbednosnu proveru. DN objekta: <kreirao DN> Klasa objekta: <objekata je kreirana> Korisnik: <koji je pokušao da doda LDAP> IP adresa klijenta: <IP adrese pošiljaoca zahteva> Bezbednosni desc: <SD koji je pokušan> |
|
Evidencija događaja |
Usluge direktorijuma |
|
Tip događaja |
Upozorenje |
|
ID događaja |
3048 |
|
Tekst događaja |
Usluga direktorijuma je otkrila zahtev za dodavanje LDAP-a za sledeći objekat koji bi obično bio blokiran iz sledećih bezbednosnih razloga. Klijent je uključio nTSecurityDescriptor atribut u zahtev za dodavanje, ali nije ima izričitu dozvolu za pisanje jednog ili više delova novog opisa bezbednosti, na osnovu podrazumevanog objedinjenog opisa bezbednosti. Zahtevu je dozvoljeno da nastavi zato što je direktorijum trenutno konfigurisan da bude u režimu samo za nadzor za ovu bezbednosnu proveru. DN objekta: <kreirao DN> Klasa objekta: <objekata je kreirana> Korisnik: <koji je pokušao da doda LDAP> IP adresa klijenta: <IP adrese pošiljaoca zahteva> |
|
Evidencija događaja |
Usluge direktorijuma |
|
Tip događaja |
Upozorenje |
|
ID događaja |
3049 |
|
Tekst događaja |
Usluga direktorijuma je otkrila zahtev za LDAP izmenu za sledeći objekat koji bi obično bio blokiran iz sledećih bezbednosnih razloga. Klijent je uključio nTSecurityDescriptor atribut u zahtev za dodavanje, ali nije ima izričitu dozvolu za pisanje jednog ili više delova novog opisa bezbednosti, na osnovu podrazumevanog objedinjenog opisa bezbednosti. Zahtevu je dozvoljeno da nastavi zato što je direktorijum trenutno konfigurisan da bude u režimu samo za nadzor za ovu bezbednosnu proveru. DN objekta: <kreirao DN> Klasa objekta: <objekata je kreirana> Korisnik: <koji je pokušao da doda LDAP> IP adresa klijenta: <IP adrese pošiljaoca zahteva> |
|
Evidencija događaja |
Usluge direktorijuma |
|
Tip događaja |
Upozorenje |
|
ID događaja |
3056 |
|
Tekst događaja |
Usluga direktorijuma je obraditi upit za atribut sdRightsEffective na objektu navedenom ispod. Vraćena maska pristupa je WRITE_DAC, ali samo zato što je direktorijum konfigurisan tako da dozvoljava implicitne privilegije vlasnika koje nisu bezbedna postavka. DN objekta: <kreirao DN> Korisnik: <koji je pokušao da doda LDAP> IP adresa klijenta: <IP adrese pošiljaoca zahteva> |
Režim sprovođenja – LDAP dodavanje neuspeha
Događaji koji se dešavaju kada je odbijena operacija LDAP dodavanja.
|
Evidencija događaja |
Usluge direktorijuma |
|
Tip događaja |
Upozorenje |
|
ID događaja |
3044 |
|
Tekst događaja |
Usluga direktorijuma je odbila zahtev za dodavanje LDAP-a za sledeći objekat. Zahtev je odbijen zato što klijent nema dozvolu za pisanje jednog ili više atributa uključenih u zahtev za dodavanje, na osnovu podrazumevanog objedinjenog opisa bezbednosti. DN objekta: <kreirao DN> Klasa objekta: <objekata je kreirana> Korisnik: <koji je pokušao da doda LDAP> IP adresa klijenta: <IP adrese pošiljaoca zahteva> Bezbednosni desc: <SD koji je pokušan> |
|
Evidencija događaja |
Usluge direktorijuma |
|
Tip događaja |
Upozorenje |
|
ID događaja |
3045 |
|
Tekst događaja |
Usluga direktorijuma je odbila zahtev za dodavanje LDAP-a za sledeći objekat. Zahtev je odbijen zato što je klijent uključio atribut nTSecurityDescriptor u zahtev za dodavanje, ali nema eksplicitnu dozvolu za pisanje jednog ili više delova novog opisa bezbednosti, na osnovu podrazumevanog objedinjenog opisa bezbednosti. DN objekta: <kreirao DN> Klasa objekta: <objekata je kreirana> Korisnik: <koji je pokušao da doda LDAP> IP adresa klijenta: <IP adrese pošiljaoca zahteva> |
Režim sprovođenja – neuspešna izmena LDAP-a
Događaji koji se dešavaju kada je odbijena operacija izmene LDAP-a.
|
Evidencija događaja |
Usluge direktorijuma |
|
Tip događaja |
Upozorenje |
|
ID događaja |
3046 |
|
Tekst događaja |
Usluga direktorijuma je odbila zahtev za LDAP izmenu za sledeći objekat. Zahtev je odbijen zato što je klijent u zahtev za izmenu uključio atribut "nTSecurityDescriptor", ali nije imao izričitu dozvolu za pisanje jednog ili više delova novog opisa bezbednosti, na osnovu postojećeg opisa bezbednosti objekta. DN objekta: <kreirao DN> Klasa objekta: <objekata je kreirana> Korisnik: <koji je pokušao da doda LDAP> IP adresa klijenta: <IP adrese pošiljaoca zahteva> |
Najčešća pitanja
Q1 Šta se dešava ako imam mešavinu Active Directory kontrolera domena koji se ažuriraju i ne ažuriraju?
A1 DC-ovi koji nisu ažurirani neće evidentirati događaje povezane sa ovom ranjivošcu.
Q2 Šta treba da uradim za upravljače domenima Read-Only domena (RODCs)?
A2 Niљta; Operacije dodavanja i izmene LDAP-a ne mogu da usmere RODC-ove.
Q3 Imam proizvod ili proces nezavisnog proizvođača koji ne uspeva nakon omogućavanja režima sprovođenja. Da li treba da dodelim prava administratoru usluge ili korisničkog domena?
A3 Obično ne preporučujemo dodavanje usluge ili korisnika u grupu Administratori domena kao prvo rešenje za ovaj problem. Ispitajte evidencije događaja da biste videli koja je određena dozvola potrebna i razmotrite delegiranje na odgovarajući način ograničena prava za tog korisnika na zasebnoj organizacionoj jedinici koja je određena za tu svrhu.
Q4 Vidim događaje nadzora takođe za LDS servere. Zašto se to dešava?
A4Sve od gorenavedenog se odnosi i na AD LDS, iako je veoma neobično imati računarske objekte u LDS-u. Trebalo bi preduzeti korake za umanjivanje kako bi se omogućila zaštita za AD LDS kada režim nadzora ne otkrije neočekivane privilegije.
