Rezime
Microsoft je objavio Ispravku za Windows koja rešava ranjivost ponovnog reprodukovanje napada tokena u sistemu Active Directory usluge za ujedinjavanje (AD FS) kao što je opisano u verzijama CVE-2023-35348. Ispravke za Windows su instalirane 11. jula 2023. ili posle ove ispravke. Ova ispravka je podrazumevano onemogućena. Da biste omogućili ažuriranje, morate konfigurisati postavku EnforceNonceInJWT .
Više informacija
Ova ispravka uvodi novu postavku za omogućavanje provere valjanosti usluge Nonce iz JSON potvrde veb tokena (JWT) tokom JWT potvrde identiteta korisnika.
Ovaj članak opisuje kako da omogućite postavku i pruža detalje događaja prijavljenih na AD FS serverima za podržane vrednosti postavke.
Postavka "NametniNonceInJWT"
Administrator na ADFS serveru može da konfiguriše svojstvo "EnforceNonceInJWT" tako da se pokreće u jednom od sledećih režima:
-
Nijedno (podrazumevana vrednost): Koristi se za praćenje da li je ikada promenjena vrednost postavke EnforceNonceInJWT . Administrator ne može da podesi ovu vrednost. ADFS server proverava neodgovaranje samo kada je prisutan u JWT potvrdama, ali ne nameće njegovo prisustvo.
-
Onemogućen: Ova vrednost može biti postavljena da bi se onemogućilo rešenje ako postoje problemi sa podrazumevanom vrednošću ili ako je objavljena poruka koja je omogućava.
-
Omogućen: Omogućava postavku EnforceNonceInJWT . ADFS server nameće da je svojstvo "Nonce " prisutno u JWT potvrdi i da je važeće i kada se ispune određeni uslovi.
Administrator na AD FS serveru može da promeni nametanjeNonceInJWT režima pomoću sledećih PowerShell komandi:
-
Omogući EnforceNonceInJwt:
Set-AdfsProperties -EnforceNonceInJWT omogućeno -
Onemogućavanje funkcije EnforceNonceInjwt:
Set-AdfsProperties -EnforceNonceInJWT onemogućeno -
Proverite status postavke EnforceNonceInJWT:
Administrator može da pokrene Get-AdfsProperties da bi proverio trenutnu postavku EnforceNonceInJWT . Vraćena vrednost EnforceNonceInJWT podudaraće se sa konfigurisanim režimom.
Evidentirani događaji
Sledeći događaji mogu biti prijavljeni na AD FS serveru nakon instalacije Ispravki za Windows objavljene 11. jula 2023. ili posle njih:
Beleške Događaj 187 se evidentira svaki put kada AD FS server primi zahtev koji ne sadrži argument "Nonce" u JWT potvrdama, a Nametni InJWT je postavljen na nijedno ili onemogućeno.
Izvor: AD FS
Nivo: Upozorenje
ID: 187
Poruku: AD FS server je primio JWT token bez ikakve potvrde i prihvaćen je na osnovu trenutne postavke konfiguracije funkcije EnforceNonceInJWT. Međutim, on ukazuje na potencijalno ponovno reprodukovanje JWT tokena zlonamernog klijenta ili mogućnost da klijent nije zakrvljen najnovijim Windows Novosti. Obavezno ažurirajte postavku EnforceNonceInJWT da biste odbili sve takve JWT tokene nakon što ste zakrpili klijente najnovijim Windows Novosti. Dodatne informacije o tome potražite u članku https://go.microsoft.com/fwlink/?linkid=2238156.
Beleške Događaj 188 se evidentira pri svakom pokretanju AD FS usluge kada je postavka EnforceNonceInJWT postavljena na Nijedno ili Onemogućeno.
Izvor: AD FS
Nivo: Greška
ID: 188
Poruku: AD FS server nije konfigurisan da odbija JWT tokene koji nisu imali nijedan znak u potvrdama. Odgovarajuća postavka (EnforceNonceInJWT) trebalo bi da bude omogućena iz bezbednosnih razloga, nakon što se uverite da su svi klijenti zakrpili najnovijim Windows Novosti. Događaj 187 ukazuje na instance u kojima je AD FS primio takve tokene i prihvatio ih zbog trenutne postavke Funkcije EnforceNonceInJWT. Dodatne informacije o tome potražite u članku https://go.microsoft.com/fwlink/?linkid=2238156.
Preduzimanje radnje
Instalirajte Ispravke za Windows objavljene 11. jula 2023. na svim AD FS serverima farme ili posle toga. Zatim omogućite postavku tako što ćete pokrenuti sledeću PowerShell komandu na primarnom AD FS serveru farme:
Set-AdfsProperties -EnforceNonceInJWT omogućeno
Vaћno Možete da vidite greške u potvrdi identiteta u određenim scenarijima kada postoje klijenti koji nisu ažurirani i pošaljete JWT zahteve za potvrdu identiteta AD FS serveru. U takvim slučajevima, preporučujemo da ažurirate sve klijente tako što ćete instalirati Windows ispravku objavljenu 11. jula 2023. ili posle toga. Druga mogućnost je da administrator onemogući postavku EnforceNonceInJWT i nadgleda AD FS servere za evidentiranje događaja 187 da bi identifikovao potencijalne zahteve koji mogu biti odbijeni kada je postavka EnforceNonceInJWT postavljena na omogućeno. Kada potvrdite odsustvo događaja 187 na AD FS serverima tokom definisanog vremenskog perioda, postavka EnforceNonceInJWT mora da se ažurira na Omogućeno.