Evidencija promena
|
Promena 1: 19. jun 2023:
|
U ovom članku
Rezime
Ispravke za Windows objavljene 8. novembra 2022. ili posle 8. novembra 2022. zaobioženje bezbednosti i podizanje privilegija u pregovorima o potvrdi identiteta korišćenjem slabog RC4-HMAC pregovora.
Ova ispravka će postaviti AES kao podrazumevani tip šifrovanja za ključeve sesije na nalozima koji već nisu označeni podrazumevanim tipom šifrovanja.
Da biste obezbedili okruženje, instalirajte Ispravke za Windows objavljene 8. novembra 2022. ili 8. novembra 2022. na svim uređajima, uključujući upravljače domenima. Pogledajte članak Promena 1.
Da biste saznali više o ovim ranjivostima, pogledajte CVE-2022-37966.
Otkrivanje eksplicitnog postavljanja tipova šifrovanja ključa sesije
Možda imate izričito definisane tipove šifrovanja na korisničkim nalozima koji su ranjivi na CVE-2022-37966. Potražite naloge gde je DES / RC4 eksplicitni omogućen, ali ne i AES pomoću sledećeg upita aktivnog direktorijuma:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Postavke ključa registratora
Kada instalirate Windows ispravke koje su navedene 8. novembra 2022. ili posle toga, sledeći ključ registratora je dostupan za Kerberos protokol:
DefaultDomainSupportedEncTypes
|
Ključ registratora |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
|
Vrednost |
DefaultDomainSupportedEncTypes |
|
Tip podataka |
REG_DWORD |
|
Vrednost podataka |
0x27 (podrazumevano) |
|
Potrebno je ponovno pokretanje? |
Ne |
Beleške Ako morate da promenite podrazumevani podržani tip šifrovanja za Active Directory korisnika ili računar, ručno dodajte i konfigurišite ključ registratora da biste postavili novi podržani tip šifrovanja. Ova ispravka ne dodaje automatski ključ registratora.
Windows kontroleri domena koriste ovu vrednost da bi odredili podržane tipove šifrovanja na nalozima u usluzi Active Directory čija je msds-SupportedEncryptionType vrednost prazna ili nije postavljena. Računar koji radi pod podržanom verzijom operativnog sistema Windows automatski postavlja msds-SupportedEncryptionTypes za taj nalog računara u usluzi Active Directory. Ovo je zasnovano na konfigurisanoj vrednosti tipova šifrovanja koju kerberos protokol može da koristi. Više informacija potražite u članku Bezbednost mreže: Konfigurisanje tipova šifrovanja dozvoljenih za Kerberos.
Korisnički nalozi, nalozi kontrolisane usluge grupe i drugi nalozi u aktivnom direktorijumu ne imaju automatski postavljenu vrednost msds-SupportedEncryptionTypes .
Da biste pronašli podržane tipove šifrovanja koje možete ručno da podesite, pogledajte članak Zastavice bita podržanih tipova šifrovanja. Dodatne informacije potražite u članku Šta prvo treba da uradite da biste pripremili okruženje i sprečili probleme sa Kerberos potvrdom identiteta.
Podrazumevana vrednost 0x27 (DES, RC4, AES ključevi sesije) izabrana je kao minimalna promena neophodna za ovu bezbednosnu ispravku. Preporučujemo da klijenti podese vrednost za 0x3C povećanu bezbednost jer će ova vrednost omogućiti i tikete šifrovane pomoću AES-a i tastere AES sesija. Ako su klijenti pratili naša uputstva za premeštanje u okruženje koje je samo AES u kojem se RC4 ne koristi za Kerberos protokol, preporučujemo da klijenti podese vrednost na 0x38. Pogledajte članak Promena 1.
Windows događaji u vezi sa CVE-2022-37966
Kerberos ključnom centru za distribuciju nedostaje jaki ključevi za nalog
|
Evidencija događaja |
Sistem |
|
Tip događaja |
Greška |
|
Izvor događaja |
Kdcsvc |
|
ID događaja |
42 |
|
Tekst događaja |
Kerberos ključnom centru za distribuciju nedostaje jaki ključevi za nalog: ime naloga. Morate da ažurirate lozinku ovog naloga da biste sprečili upotrebu nebeske kriptografije. Pogledajte https://go.microsoft.com/fwlink/?linkid=2210019 da biste saznali više. |
Ako pronađete ovu grešku, verovatno morate da poništite krbtgt lozinku pre nego što postavite KrbtgtFullPacSingature = 3 ili instalirate Windows Novosti objavljen 11. jula 2023. ili posle nje. Ispravka koja programski omogućava režim sprovođenja za CVE-2022-37967 dokumentovana je u sledećem članku u Microsoft bazi znanja:
KB5020805: Kako da upravljate promenama Kerberos protokola u vezi sa CVE-2022-37967
Više informacija o tome kako to da uradite potražite u temi New-KrbtgtKeys.ps1 na veb lokaciji GitHub.
Najčešća pitanja (najčešća pitanja) i poznati problemi
Nalozi koji su označeni zastavicom za eksplicitnu upotrebu RC4 su ranjivi. Pored toga, okruženja koja ne sadrže tastere AES sesije u okviru krbgt naloga mogu biti ranjiva. Da biste umanjili ovaj problem, pratite uputstva o tome kako da identifikujete ranjivosti i koristite odeljak sa postavkama ključa registratora da biste ažurirali izričito postavljene podrazumevane vrednosti šifrovanja.
Moraćete da proverite da li svi vaši uređaji imaju uobičajeni Tip Kerberos šifrovanja. Više informacija o Kerberos tipovima šifrovanja potražite u članku Dešifrovanje izbora podržanih Kerberos tipova šifrovanja.
Okruženja bez uobičajenog tipa Kerberos šifrovanja možda su prethodno bila funkcionalna zbog automatskog dodavanja RC4 ili dodavanja AES-a, ako je RC4 onemogućen putem smernica grupe od strane kontrolera domena. Ovo ponašanje je promenjeno sa ispravkama objavljenim 8. novembra 2022. i sada će strogo pratiti šta je podešeno u ključevima registratora, msds-SupportedEncryptionTypes i DefaultDomainSupportedEncTypes.
Ako nalog nema podešen msds-SupportedEncryptionTypes ili je postavljen na 0, kontroleri domena pretpostavljaju podrazumevanu vrednost za 0x27 (39) ili će kontroler domena koristiti postavku u ključu registratora DefaultDomainSupportedEncTypes.
Ako nalog ima podešen msds-SupportedEncryptionTypes , ova postavka je poštovana i može da izloži neuspešnost konfigurisanja uobičajenog Tipa Kerberos šifrovanja maskiranog prethodnim ponašanjem automatskog dodavanja RC4 ili AES-a, što više nije ponašanje nakon instalacije ispravki objavljenih 8. novembra 2022. ili posle njega.
Informacije o tome kako da potvrdite da imate uobičajeni Tip Kerberos šifrovanja potražite u pitanju Kako da potvrdim da svi moji uređaji imaju uobičajeni Tip Kerberos šifrovanja?
Pogledajte prethodno pitanje za više informacija zašto vaši uređaji možda ne imaju uobičajeni Tip Kerberos šifrovanja nakon instaliranja ispravki objavljenih 8. novembra 2022. ili posle toga.
Ako ste već instalirali ispravke objavljene 8. novembra 2022. ili posle toga, možete da otkrijete uređaje koji ne imaju uobičajeni Tip Kerberos šifrovanja tako što ćete pogledati evidenciju događaja za događaj Microsoft-Windows-Kerberos-Key-Distribution-Center događaj 27, koji identifikuje tipove šifrovanja koji nisu spojeni između Kerberos klijenata i udaljenih servera ili usluga.
Instalacija ispravki objavljenih 8. novembra 2022. ili posle 8. novembra 2022. na serverima uloga kontrolera domena ne bi trebalo da utiču na Kerberos potvrdu identiteta u okruženju.
Da biste ublažili ovaj poznati problem, otvorite prozor komandne linije kao administrator i privremeno koristite sledeću komandu da biste podesili ključ registratora KrbtgtFullPacSignature na 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Beleške Kada se ovaj poznati problem reši, trebalo bi da podesite krbtgtFullPacSignature na višu postavku u zavisnosti od toga šta će vaše okruženje dozvoliti. Preporučujemo da režim sprovođenja bude omogućen čim okruženje bude spremno.
Sledeći koraciRadimo na rešenju i obezbedićemo ispravku u predstojećem izdanju.
Nakon instaliranja ispravki objavljenih 8. novembra 2022. ili posle 8. novembra 2022. na upravljačima domena, svi uređaji moraju da podržavaju AES potpisivanje tiketa kako bi se zahtevalo da budu usaglašeni sa bezbednosnim poteškoćama neophodnim za CVE-2022-37967.
Sledeći koraci Ako već koristite najnoviji softver i firmver za uređaje koji nisu Windows i proverili da li je dostupan uobičajeni tip šifrovanja između Windows kontrolera domena i uređaja koji nisu Windows, moraćete da se obratite proizvođaču uređaja (OEM) za pomoć ili da zamenite uređaje usaglašenim.
VAЋNO Ne preporučujemo da koristite bilo koje privremeno rešenje da biste dozvolili uređajima koji nisu usaglašeno da potvrde identitet, jer to može učiniti vaše okruženje ranjivim.
Nepodržane verzije operativnog sistema Windows uključuju Windows XP, Windows Server 2003, Windows Server 2008 SP2 i Windows Server 2008 R2 SP1 ažuriranim Windows uređajima osim ako nemate ESU licencu. Ako imate ESU licencu, moraćete da instalirate ispravke objavljene 8. novembra 2022. ili posle toga i proverite da li konfiguracija ima uobičajeni tip šifrovanja dostupan na svim uređajima.
Sledeći koraci Instalirajte ispravke ako su dostupne za vašu verziju operativnog sistema Windows i imate odgovarajuću ESU licencu. Ako ispravke nisu dostupne, moraćete da izvršite nadogradnju na podržanu verziju operativnog sistema Windows ili da premestite bilo koju aplikaciju ili uslugu na usaglašeni uređaj.
VAЋNO Ne preporučujemo da koristite bilo koje privremeno rešenje da biste dozvolili uređajima koji nisu usaglašeno da potvrde identitet, jer to može učiniti vaše okruženje ranjivim.
Ovaj poznati problem rešen je u vanmrežinim ispravkama objavljenim 17. novembra 2022. i 18. novembra 2022. za instalaciju na svim kontrolama domena u okruženju. Ne morate da instalirate nikakvu ispravku niti da menjate druge servere ili klijentske uređaje u okruženju da biste rešili ovaj problem. Ako ste koristili bilo koje privremeno rešenje ili umanjivanje za ovaj problem, oni više nisu potrebni i preporučujemo vam da ih uklonite.
Da biste dobili samostalni paket za ove ispravke van mreže, potražite broj KB u Microsoft Update katalogu. Te ispravke možete ručno da uvezete u Windows Server Update Services (WSUS) i Microsoft endpoint Configuration Manager. Uputstva za WSUS potražite u članku WSUS i lokacija kataloga. Uputstva za Upravljanje konfiguracijom potražite u članku Uvoz ispravki iz Microsoft Update kataloga.
Beleške Sledeće ispravke nisu dostupne iz Windows Update i neće se instalirati automatski.
Kumulativne ispravke:
Beleške Ne morate da primenite nijednu prethodnu ispravku pre nego što instalirate ove kumulativne ispravke. Ako ste već instalirali ispravke objavljene 8. novembra 2022, ne morate da deinstalirate ispravke na koje ovo utiče pre instaliranja novijih ispravki, uključujući gorenavedene ispravke.
Samostalni Novosti:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (objavljeno 18. novembra 2022.)
-
Windows Server 2008 SP2: KB5021657
Beleške
-
Ako koristite samo bezbednosne ispravke za ove verzije sistema Windows Server, te samostalne ispravke treba da instalirate samo za mesec novembra 2022. Samo bezbednosne ispravke nisu kumulativne, a moraćete i da instalirate sve prethodne ispravke samo za bezbednost da bi bila potpuno ažurirana. Mesečne zbirne ispravke su kumulativne i uključuju bezbednosne i sve ispravke kvaliteta.
-
Ako koristite mesečne zbirne ispravke, moraćete da instalirate i samostalne ispravke navedene iznad da biste rešili ovaj problem i da instalirate mesečne zbirne ispravke objavljene 8. novembra 2022. da biste dobili ispravke kvaliteta za novembar 2022. Ako ste već instalirali ispravke objavljene 8. novembra 2022, ne morate da deinstalirate ispravke na koje ovo utiče pre instaliranja novijih ispravki, uključujući gorenavedene ispravke.
Ako ste verifikovali konfiguraciju okruženja, a i dalje nailazite na probleme sa bilo kom primenom programa Kerberos koja ne podržava Microsoft, biće vam potrebne ispravke ili podrška projektanta ili proizvođača aplikacije ili uređaja.
Ovaj poznati problem se može umanjiti na neki od sledećih načina:
-
Podesite msds-SupportedEncryptionTypes na nivou bita ili ga podesite na trenutnu podrazumevanu 0x27 da biste očuli trenutnu vrednost. Na primer:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Postavite msds-SupportEncryptionTypes na 0 da biste dozvolili kontrolerima domena da koriste podrazumevanu vrednost 0x27.
Sledeći koraciRadimo na rešenju i obezbedićemo ispravku u predstojećem izdanju.
Rečnik
Advanced Encryption Standard (AES) je šifrovanje bloka koje zamenaje standard šifrovanja podataka (DES). AES se može koristiti za zaštitu elektronskih podataka. AES algoritam se može koristiti za šifrovanje (encipher) i dešifrovanje (dešifrovanje) informacija. Šifrovanje konvertuje podatke u neobličajni obrazac koji se zove šifrovani tekst; dešifrovanje šifrovanog teksta konvertuje podatke nazad u originalni obrazac, koji se naziva čisti tekst. AES se koristi u kriptografiji simetričnog ključa, što znači da se isti ključ koristi za operacije šifrovanja i dešifrivanja. To je takođe blokadni tekst, što znači da radi na blokovima čistog teksta i teksta fiksne veličine i zahteva veličinu čistog teksta, kao i da bude tačan umnožak ove veličine bloka. AES je poznat i kao Rijndael algoritam simetričnog šifrovanja [FIPS197].
Kerberos je protokol za potvrdu identiteta na računaru na mreži koji radi na osnovu "tiketa" kako bi omogućio da čvorovi komuniciraju preko mreže kako bi se na bezbedan način dokazao njihov identitet.
Kerberos usluga koja primenjuje usluge potvrde identiteta i dodeljivanja tiketa navedene u Kerberos protokolu. Usluga se pokreće na računarima koje izabere administrator domena ili domena; On nije prisutan na svakom računaru na mreži. Mora da ima pristup bazi podataka naloga za stvar u koju sluћi. KDC-i su integrisani u ulogu kontrolera domena. To je mrežna usluga koja obezbeđuje tikete klijentima za korišćenje u potvrdi identiteta za usluge.
RC4-HMAC (RC4) je simetričnog algoritma simetričnog šifrovanja promenljive dužine ključa. Više informacija potražite u odeljku [SCHNEIER] 17.1.
Relativno kratkoročni simetrični ključ (kriptografski ključ koji pregovara klijent i server zasnovan na deljenoj tajni). Životni vek ključeva sesije je povezan sa sesijom sa kojom je povezan. Ključ sesije mora da bude dovoljno jak da izdrћi kriptanalizu za ћivotni vek sesije.
Poseban tip tiketa koji se može koristiti za pribavljanje drugih karata. Tiket za dodelu tiketa (TGT) dobija se nakon početne potvrde identiteta u razmeni usluge potvrde identiteta (AS); posle toga, korisnici ne moraju da izlaže svoje akreditive, ali mogu da koriste TGT da bi dobili naredne tikete.
