Ažurirano 13.4.22.

Rezime

CVE-2021-42291 rešava bezbednosnu slabost koja određenim korisnicima omogućava da postanu proizvoljne vrednosti na bezbednosno osetljivim atributima određenih objekata uskladištenih u usluzi Active Directory (AD). Da bi iskoristio ovu ranjivost, korisnik mora imati dovoljno privilegija za kreiranje naloga računara, kao što je korisnik dodelio createChild dozvole za objekte računara. Taj korisnik može da kreira nalog računara koristeći Lightweight Directory Access Protocol (LDAP) Dodavanje poziva koji omogućava prekoračan pristup atributu securityDescriptor . Pored toga, autori i vlasnici mogu da menjaju bezbednosno osetljive atribute nakon kreiranja naloga.

Umanjivanja u CVE-2021-42291 sastoje se od:

  1. Dodatna verifikacija autorizacije kada korisnici bez administratorskih prava domena pokušaju da pokušaju operaciju LDAP dodavanje za objekat koji se izvodi na računaru. To uključuje režim nadzor po podrazumevanoj vrednosti koji nadgleda kada dođe do takvih pokušaja bez ometanja zahteva i režima sprovođenja koji blokira takve pokušaje.

  2. Privremeno uklanjanje implicitnih privilegija vlasnika kada korisnici bez prava administratora domena pokušaju operaciju izmene LDAP-a na atributu securityDescriptor . Verifikacija potvrđuje da li će korisniku biti dozvoljeno da napiše opis bezbednosti bez implicitnih privilegija vlasnika. To uključuje i režim nadzor po podrazumevanoj vrednosti koji nadgleda kada dođe do takvih pokušaja bez ometanja zahteva i režima sprovođenja koji blokira takve pokušaje.

Preduzimanje radnje

Da biste zaštitili okruženje i izbegli prekcije, dovršite sledeće korake:

  1. Ažurirajte sve uređaje koji hostuje ulogu kontrolera domena aktivnog direktorijuma tako što ćete instalirati ispravku od 9. novembra 2021. Ovo će podrazumevano primeniti promene u režimu nadzora.

  2. Nadgledajte evidenciju događaja usluge direktorijuma za 3044-3056 događaje na kontrolerima domena koji imaju ispravke od 9. novembra 2021. ili novije Windows objavljene pre režima programske primene. Evidentirani događaji ukazuju na to da korisnik može imati prekomerne privilegije za kreiranje naloga računara sa proizvoljnim bezbednosno osetljivim atributima. Prijavite sve neočekivane scenarije korporaciji Microsoft pomoću slučaja Premier Objedinjena podrška ili čvorišta za povratne informacije. (Primer ovih događaja možete pronaći u odeljku Novododati događaji.)

  3. Ako režim nadzora ne otkrije neočekivane privilegije dovoljno dugo, prebacite se na režim sprovođenja da biste se uverili da nema negativnih rezultata. Prijavite sve neočekivane scenarije korporaciji Microsoft pomoću slučaja Premier Objedinjena podrška ili čvorišta za povratne informacije.

    Vaћno Režim sprovođenja će podrazumevano biti uključen u predstojećem ažuriranju ne pre 12. jula 2022. godine.

Podešavanje vremena Windows ispravki

Ove Windows ispravke će biti objavljene u dve faze:

  1. Početna primena – Uvod u ispravku, uključujući režime nadzora po podrazumevanoj vrednosti, sprovođenje ili onemogućavanje koji se mogu konfigurirati pomoću atributa dSHeuristics .

  2. Konačna primena – podrazumevana primena.

    Vaћno Režim sprovođenja će podrazumevano biti uključen u predstojećem ažuriranju ne pre 12. jula 2022. godine.

9. novembar 2021: Faza početne primene

Početna faza primene počinje ispravkom Windows objavljenom 9. novembra 2021. Ovo izdanje dodaje nadzor dozvola koje su postavili korisnici bez prava administratora domena tokom kreiranja ili izmene računara ili objekata izvedenih na računaru. Takođe dodaje režim sprovođenja i onemogućavanja. Možete globalno da podesite režim za svaku Active Directory šumu pomoću atributa dSHeuristics .

(ažurirano) 12. jul 2022: Konačna faza raspoređivanja

Završna faza primene počinje ispravkom Windows objavljenom ne pre 12. jula 2022. (koja će se utvrditi). Ova faza će promeniti podrazumevani režim sprovođenja.

Važno: Režim onemogućavanja nije podržan posle 12. jula 2022.

Beleške Ova ispravka pretpostavlja da se svi kontrolori domena ažuriraju ispravkom od 9. novembra 2021. ili novijim.

Uputstva za primenu

Informacije o podešavanju konfiguracije

Nakon instalacije CVE-2021-42291, znakovi 28 i 29 atributa dSHeuristics kontrolišu ponašanje ispravke . Atribut dSHeuristics postoji u okviru svake Active Directory šume i sadrži postavke za celu šumu. Atribut dSHeuristics je atribut objekta "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>". Više informacija potražite u člancima 6.1.1.2.1.2 dSHeuristics i DS-Heuristics .

Character 28 – Dodatne potvrde identiteta za LDAP operacije dodavanja

0: Omogućen je režim nadzora po podrazumevanoj vrednosti. Događaj se evidentira kada korisnici bez prava administratora domena podese klasu securityDescriptor ili druge atribute na vrednosti koje mogu da dodele suvišne dozvole, što potencijalno omogućava buduću eksploataciju, na novim AD objektima izvedenim na računaru.

1: Režim sprovođenja je omogućen. To sprečava korisnike koji nemaju administratorska prava domena da postavke securityDescriptor ili druge atribute na vrednosti koje mogu da dodele suvišne dozvole za AD objekte izvedene na računaru. Događaj se evidentira i kada se to desi.

2: Onemogućava ažurirani nadzor i ne nameće dodatnu bezbednost. Ne preporučuje se.

Primer: Ako u šumi niste imali omogućene druge dSHeuristics postavke i želite da se prebacite u režim sprovođenja radi dodatne potvrde identiteta, atribut dSHeuristics treba da bude podešen na:

"0000000001000000000200000001"

Znakovi koji su podešeni u ovom slučaju su:
10. znak: mora biti postavljen na 1 ako atribut dSHeuristics ima najmanje 10 znakova
20. znak: mora biti postavljen na 2 ako atribut dSHeuristics ima najmanje 20 znakova
28. znak : mora biti postavljen na 1 da bi se omogućio režim sprovođenja za dodatnu potvrdu identiteta

Character 29 – Privremeno uklanjanje implicitnog vlasnika za LDAP operacije izmene

0: Omogućen je režim nadzora po podrazumevanoj vrednosti. Događaj se evidentira kada korisnici bez prava administratora domena podese klasu securityDescriptor na vrednosti koje mogu da dodele suvišne dozvole, što potencijalno dozvoljava buduću eksploataciju, na postojećim AD objektima izvedenim sa računara.

1: Režim sprovođenja je omogućen. To sprečava korisnike bez prava administratora domena da podebljaju securityDescriptor na vrednosti koje mogu da dodele prekomerne dozvole za postojeće AD objekte izvedene na računaru. Događaj se evidentira i kada se to desi.

2:Onemogućava ažurirani nadzor i ne nameće dodatnu bezbednost. Ne preporučuje se.

Primer: Ako je u šumi postavljena samo zastavica Additional AuthZ verifications dsHeuristics i želite da se prebacite u režim sprovođenja radi privremenog uklanjanja implicitnog vlasništva, atribut dSHeuristics treba da bude podešen na:

"00000000010000000002000000011"

Znakovi koji su podešeni u ovom slučaju su:
10. znak: Mora biti postavljen na 1 ako atribut dSHeuristics ima najmanje 10 znakova
20. znak: mora biti postavljen na 2 ako atribut dSHeuristics ima najmanje 20 znakova
28. znak : mora biti postavljen na 1 da bi se omogućio režim sprovođenja za dodatnu potvrdu identiteta
29. znak : mora biti postavljen na vrednost 1 da bi se omogućio režim sprovođenja za privremeno uklanjanje implicitnog vlasništva

Novi dodati događaji

Ispravka od 9. novembra 2021. Windows će dodati i nove evidencije događaja.

Događaji promene režima – Dodatna potvrda identiteta za LDAP operacije dodavanja

Događaji koji se odvijaju kada se promeni 28. bit atributa dSHeuristics , što menja režim dodatnih AuthZ verifikacija za deo sa LDAP Add operacijama u okviru ispravke.

Evidencija događaja

Usluge direktorijuma

Tip događaja

Informaciono

ID događaja

3050

Tekst događaja

Direktorijum je konfigurisan da nameće autorizovanje po atributu tokom operacija dodavanja LDAP-a.

Ovo je najsigurnija postavka i dalje nije potrebna nikakva dalja radnja.

Evidencija događaja

Usluge direktorijuma

Tip događaja

Upozorenje

ID događaja

3051

Tekst događaja

Direktorijum je konfigurisan tako da ne nameće autorizovanje po atributu tokom LDAP operacija dodavanja. Događaji upozorenja će biti evidentirani, ali nijedan zahtev neće biti blokiran.

Ova postavka nije bezbedna i trebalo bi je koristiti samo kao privremeni korak za rešavanje problema. Pregledajte predložena umanjivanja u dolenavedenoj vezi.

Evidencija događaja

Usluge direktorijuma

Tip događaja

Greška

ID događaja

3052

Tekst događaja

Direktorijum je konfigurisan tako da ne nameće autorizovanje po atributu tokom LDAP operacija dodavanja. Događaji neće biti evidentirani i nijedan zahtev neće biti blokiran.

Ova postavka nije bezbedna i trebalo bi je koristiti samo kao privremeni korak za rešavanje problema. Pregledajte predložena umanjivanja u dolenavedenoj vezi.

Događaji promene režima – privremeno uklanjanje prava implicitnog vlasnika

Događaji koji se odvijaju kada se promeni 29. bit atributa dSHeuristics , što menja režim privremenog uklanjanja deo prava implicitnog vlasnika na ispravku.

Evidencija događaja

Usluge direktorijuma

Tip događaja

Informaciono

ID događaja

3053

Tekst događaja

Direktorijum je konfigurisan da blokira implicitne privilegije vlasnika prilikom početnog podešavanja ili izmene atributa nTSecurityDescriptor tokom LDAP operacija dodavanja i izmene.

Ovo je najsigurnija postavka i dalje nije potrebna nikakva dalja radnja.

Evidencija događaja

Usluge direktorijuma

Tip događaja

Upozorenje

ID događaja

3054

Tekst događaja

Direktorijum je konfigurisan tako da dozvoljava implicitne privilegije vlasnika prilikom početnog podešavanja ili izmene atributa nTSecurityDescriptor tokom LDAP operacija dodavanja i izmene. Događaji upozorenja će biti evidentirani, ali nijedan zahtev neće biti blokiran.

Ova postavka nije bezbedna i trebalo bi je koristiti samo kao privremeni korak za rešavanje problema. 

Evidencija događaja

Usluge direktorijuma

Tip događaja

Greška

ID događaja

3055

Tekst događaja

Direktorijum je konfigurisan tako da dozvoljava implicitne privilegije vlasnika prilikom početnog podešavanja ili izmene atributa nTSecurityDescriptor tokom LDAP operacija dodavanja i izmene. Događaji neće biti evidentirani i nijedan zahtev neće biti blokiran.

Ova postavka nije bezbedna i trebalo bi je koristiti samo kao privremeni korak za rešavanje problema. 

Događaji režima nadzora

Događaji koji se odvijaju u režimu nadzora za evidenciju potencijalnih bezbednosnih problema pomoću operacije dodavanja ili izmene LDAP-a.

Evidencija događaja

Usluge direktorijuma

Tip događaja

Upozorenje

ID događaja

3047

Tekst događaja

Usluga direktorijuma je otkrila zahtev za dodavanje LDAP-a za sledeći objekat koji bi obično bio blokiran iz sledećih bezbednosnih razloga.

Klijent nije ima dozvolu da upisuje jedan ili više atributa uključenih u zahtev za dodavanje, na osnovu podrazumevanog objedinjenog opisa bezbednosti.

Zahtevu je dozvoljeno da nastavi zato što je direktorijum trenutno konfigurisan da bude u režimu samo za nadzor za ovu bezbednosnu proveru.

DN objekta: <kreirao DN>

Klasa objekta: <objekata je kreirana>

Korisnik: <koji je pokušao da doda LDAP>

IP adresa klijenta: <IP adrese pošiljaoca zahteva>

Bezbednosni desc: <SD koji je pokušan>

Evidencija događaja

Usluge direktorijuma

Tip događaja

Upozorenje

ID događaja

3048

Tekst događaja

Usluga direktorijuma je otkrila zahtev za dodavanje LDAP-a za sledeći objekat koji bi obično bio blokiran iz sledećih bezbednosnih razloga.

Klijent je uključio nTSecurityDescriptor atribut u zahtev za dodavanje, ali nije ima izričitu dozvolu za pisanje jednog ili više delova novog opisa bezbednosti, na osnovu podrazumevanog objedinjenog opisa bezbednosti.

Zahtevu je dozvoljeno da nastavi zato što je direktorijum trenutno konfigurisan da bude u režimu samo za nadzor za ovu bezbednosnu proveru.

DN objekta: <kreirao DN>

Klasa objekta: <objekata je kreirana>

Korisnik: <koji je pokušao da doda LDAP>

IP adresa klijenta: <IP adrese pošiljaoca zahteva>

Evidencija događaja

Usluge direktorijuma

Tip događaja

Upozorenje

ID događaja

3049

Tekst događaja

Usluga direktorijuma je otkrila zahtev za LDAP izmenu za sledeći objekat koji bi obično bio blokiran iz sledećih bezbednosnih razloga.

Klijent je uključio nTSecurityDescriptor atribut u zahtev za dodavanje, ali nije ima izričitu dozvolu za pisanje jednog ili više delova novog opisa bezbednosti, na osnovu podrazumevanog objedinjenog opisa bezbednosti.

Zahtevu je dozvoljeno da nastavi zato što je direktorijum trenutno konfigurisan da bude u režimu samo za nadzor za ovu bezbednosnu proveru.

DN objekta: <kreirao DN>

Klasa objekta: <objekata je kreirana>

Korisnik: <koji je pokušao da doda LDAP>

IP adresa klijenta: <IP adrese pošiljaoca zahteva>

Evidencija događaja

Usluge direktorijuma

Tip događaja

Upozorenje

ID događaja

3056

Tekst događaja

Usluga direktorijuma je obraditi upit za atribut sdRightsEffective na objektu navedenom ispod. Vraćena maska pristupa je WRITE_DAC, ali samo zato što je direktorijum konfigurisan tako da dozvoljava implicitne privilegije vlasnika koje nisu bezbedna postavka.

DN objekta: <kreirao DN>

Korisnik: <koji je pokušao da doda LDAP>

IP adresa klijenta: <IP adrese pošiljaoca zahteva>

Režim sprovođenja – LDAP dodavanje neuspeha

Događaji koji se dešavaju kada je odbijena operacija LDAP dodavanja.

Evidencija događaja

Usluge direktorijuma

Tip događaja

Upozorenje

ID događaja

3044

Tekst događaja

Usluga direktorijuma je odbila zahtev za dodavanje LDAP-a za sledeći objekat. Zahtev je odbijen zato što klijent nema dozvolu za pisanje jednog ili više atributa uključenih u zahtev za dodavanje, na osnovu podrazumevanog objedinjenog opisa bezbednosti.

DN objekta: <kreirao DN>

Klasa objekta: <objekata je kreirana>

Korisnik: <koji je pokušao da doda LDAP>

IP adresa klijenta: <IP adrese pošiljaoca zahteva>

Bezbednosni desc: <SD koji je pokušan>

Evidencija događaja

Usluge direktorijuma

Tip događaja

Upozorenje

ID događaja

3045

Tekst događaja

Usluga direktorijuma je odbila zahtev za dodavanje LDAP-a za sledeći objekat. Zahtev je odbijen zato što je klijent uključio atribut nTSecurityDescriptor u zahtev za dodavanje, ali nema eksplicitnu dozvolu za pisanje jednog ili više delova novog opisa bezbednosti, na osnovu podrazumevanog objedinjenog opisa bezbednosti.

DN objekta: <kreirao DN>

Klasa objekta: <objekata je kreirana>

Korisnik: <koji je pokušao da doda LDAP>

IP adresa klijenta: <IP adrese pošiljaoca zahteva>

Režim sprovođenja – neuspešna izmena LDAP-a

Događaji koji se dešavaju kada je odbijena operacija izmene LDAP-a.

Evidencija događaja

Usluge direktorijuma

Tip događaja

Upozorenje

ID događaja

3046

Tekst događaja

Usluga direktorijuma je odbila zahtev za LDAP izmenu za sledeći objekat. Zahtev je odbijen zato što je klijent u zahtev za izmenu uključio atribut "nTSecurityDescriptor", ali nije imao izričitu dozvolu za pisanje jednog ili više delova novog opisa bezbednosti, na osnovu postojećeg opisa bezbednosti objekta.

DN objekta: <kreirao DN>

Klasa objekta: <objekata je kreirana>

Korisnik: <koji je pokušao da doda LDAP>

IP adresa klijenta: <IP adrese pošiljaoca zahteva>

Najčešća pitanja

Q1 Šta se dešava ako imam mešavinu Active Directory kontrolera domena koji se ažuriraju i ne ažuriraju?

A1 DC-ovi koji nisu ažurirani neće evidentirati događaje povezane sa ovom ranjivošcu.

Q2 Šta treba da uradim za upravljače domenima Read-Only domena (RODCs)?

A2 Niљta; Operacije dodavanja i izmene LDAP-a ne mogu da usmere RODC-ove.

Q3 Imam proizvod ili proces nezavisnog proizvođača koji ne uspeva nakon omogućavanja režima sprovođenja. Da li treba da dodelim prava administratoru usluge ili korisničkog domena?

A3 Obično ne preporučujemo dodavanje usluge ili korisnika u grupu Administratori domena kao prvo rešenje za ovaj problem. Ispitajte evidencije događaja da biste videli koja je određena dozvola potrebna i razmotrite delegiranje na odgovarajući način ograničena prava za tog korisnika na zasebnoj organizacionoj jedinici koja je određena za tu svrhu.

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?

Hvala vam na povratnim informacijama!

×