20.03.2024 güncelleştirildi – LDS başvuruları eklendi
Özet
CVE-2021-42291 , belirli kullanıcıların Active Directory'de (AD) veya Basit Dizin Hizmeti'nde (LDS) depolanan belirli nesnelerin güvenlik duyarlı özniteliklerinde rastgele değerler ayarlamasına olanak tanıyan bir güvenlik atlama güvenlik açığını giderir. Bu güvenlik açığından yararlanmak için, kullanıcının bilgisayar nesneleri için CreateChild izinleri verilmiş bir kullanıcı gibi bilgisayar türetilmiş bir nesne oluşturmak için yeterli ayrıcalıklara sahip olması gerekir. Bu kullanıcı, basit dizin erişim protokolü (LDAP) kullanarak bir bilgisayar hesabı oluşturabilir. SecurityDescriptor özniteliğine aşırı izin veren erişime izin veren bir çağrı ekleyin. Ayrıca, oluşturucular ve sahipler hesap oluşturduktan sonra güvenlik duyarlı öznitelikleri değiştirebilir. Bu, belirli senaryolarda ayrıcalık yükseltmesi gerçekleştirmek için kullanılabilir.
NotLDS, AD'nin yaptığı gibi nesnelere örtük erişimin durumu hakkında 3050, 3053, 3051 ve 3054 olaylarını günlüğe kaydeder.
CVE-2021-42291'deki azaltmalar şunlardan oluşur:
-
Etki alanı veya LDS yönetici hakları olmayan kullanıcılar bilgisayar tarafından türetilmiş bir nesne için LDAP Ekleme işlemini denediğinde ek yetkilendirme doğrulaması. Bu, isteğe müdahale etmeden bu tür girişimler gerçekleştiğinde denetleyebilen Varsayılan Olarak Denetle modunu ve bu tür girişimleri engelleyen bir Zorlama modunu içerir.
-
Etki alanı yöneticisi hakları olmayan kullanıcılar securityDescriptor özniteliğinde LDAP Değiştirme işlemini denediğinde Örtük Sahip ayrıcalıklarının geçici olarak kaldırılması. Kullanıcının güvenlik tanımlayıcısını Örtük Sahip ayrıcalıkları olmadan yazmasına izin verilip verilmeyeceğini onaylamak için bir doğrulama gerçekleşir. Bu ayrıca, bu tür girişimler gerçekleştiğinde isteği engellemeden denetleyebilen Varsayılan Olarak Denetle modunu ve bu tür girişimleri engelleyen bir Zorlama modunu da içerir.
Eyleme Geç
Ortamınızı korumak ve kesintileri önlemek için lütfen aşağıdaki adımları tamamlayın:
-
En son Windows güncelleştirmelerini yükleyerek Active Directory etki alanı denetleyicisini veya LDS Sunucusu rolünü barındıran tüm cihazları güncelleştirin. 9 Kasım 2021 veya üzeri güncelleştirmeleri olan DC'ler, değişiklikleri varsayılan olarak Denetim modunda alır.
-
9 Kasım 2021 veya üzeri Windows güncelleştirmelerine sahip etki alanı denetleyicilerinde ve LDS sunucularında 3044-3056 olayları için Dizin Hizmeti veya LDS olay günlüğünü izleyin. Günlüğe kaydedilen olaylar, kullanıcının rastgele güvenlik duyarlı özniteliklere sahip bilgisayar hesapları oluşturmak için aşırı ayrıcalıklara sahip olabileceğini gösterir. Premier veya Birleşik Destek olayı veya Geri Bildirim Merkezi'ni kullanarak beklenmeyen senaryoları Microsoft'a bildirin. (Bu olayların bir örneğini Yeni Eklenen Olaylar bölümünde bulabilirsiniz.)
-
Denetim modu yeterli süre boyunca beklenmeyen ayrıcalıklar algılamazsa, olumsuz sonuç oluşmadığından emin olmak için Zorlama moduna geçin. Premier veya Birleşik Destek olayı veya Geri Bildirim Merkezi'ni kullanarak beklenmeyen senaryoları Microsoft'a bildirin.
Windows güncelleştirmelerinin zamanlaması
Bu Windows güncelleştirmeleri iki aşamada yayımlanacaktır:
-
İlk dağıtım – Varsayılan Olarak Denetle, dSHeuristics özniteliği kullanılarak yapılandırılabilir zorlama veya devre dışı bırakma modları da dahil olmak üzere güncelleştirmenin tanıtımı.
-
Son dağıtım – Varsayılan olarak zorlama.
9 Kasım 2021: İlk dağıtım aşaması
İlk dağıtım aşaması, 9 Kasım 2021'de yayımlanan Windows güncelleştirmesi ile başlar. Bu sürüm, bilgisayar veya bilgisayardan türetilen nesnelerin oluşturulması veya değiştirilmesi sırasında etki alanı yöneticisi hakları olmayan kullanıcılar tarafından ayarlanan izinlerin denetimini ekler. Ayrıca bir Zorlama ve Devre Dışı Bırakma modu ekler. dSHeuristics özniteliğini kullanarak her Active Directory ormanı için modu genel olarak ayarlayabilirsiniz.
(Güncelleştirme tarihi: 15.12.2023) Son dağıtım aşaması
Son dağıtım aşaması, Eylem Gerçekleştir bölümünde listelenen adımları tamamladıktan sonra başlayabilir. Zorlama Modu'na geçmek için Dağıtım Kılavuzu bölümündeki yönergeleri izleyerek dSHeuristics özniteliğinde 28. ve 29. bitleri ayarlayın. Ardından 3044-3046 olaylarını izleyin. Zorlama Modu daha önce Denetim modunda izin verilmiş olabilecek bir LDAP Ekleme veya Değiştirme işlemini engellediğinde bildirir.
Dağıtım kılavuzu
Yapılandırma Bilgilerini Ayarlama
CVE-2021-42291 yüklendikten sonra , dSHeuristics özniteliğinin 28 ve 29 karakterleri güncelleştirmenin davranışını denetler. dSHeuristics özniteliği her Active Directory ormanında bulunur ve tüm ormanın ayarlarını içerir. dSHeuristics özniteliği , "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD) veya "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<yapılandırma kümesi>" (LDS) nesnesinin özniteliğidir. Daha fazla bilgi için bkz. 6.1.1.2.4.1.2 dSHeuristics ve DS-Heuristics özniteliği .
Karakter 28 – LDAP Ekleme işlemleri için ek AuthZ doğrulamaları
0: Varsayılan Olarak Denetle modu etkindir. Etki alanı yöneticisi hakları olmayan kullanıcılar securityDescriptor'ı veya diğer öznitelikleri, bilgisayar tarafından türetilen yeni AD nesnelerinde gelecekte kötüye kullanıma izin verebilecek aşırı izinler verebilecek değerlere ayarladığında bir olay günlüğe kaydedilir.
1: Zorlama modu etkin. Bu, etki alanı yöneticisi hakları olmayan kullanıcıların securityDescriptor'ı veya diğer öznitelikleri bilgisayar tarafından türetilen AD nesnelerinde aşırı izin verebilen değerlere ayarlamasını önler. Bu durum oluştuğunda bir olay da günlüğe kaydedilir.
2: Güncelleştirilmiş denetimi devre dışı bırakır ve eklenen güvenliği zorlamaz. Önerilmez.
Örnek: Ormanınızda etkinleştirilmiş başka dSHeuristics ayarlarınız yoksa ve Ek AuthZ doğrulaması için Zorlama moduna geçmek istiyorsanız , dSHeuristics özniteliği şu şekilde ayarlanmalıdır:
"0000000001000000000200000001"
Bu durumda ayarlanan karakterler şunlardır:
10. karakter: dSHeuristics özniteliği en az 10 karakterse
1 olarak ayarlanmalıdır
20. karakter: dSHeuristics özniteliği en az 20 karakterse
2 olarak ayarlanmalıdır
28. karakter: Ek AuthZ doğrulaması için Zorlama modunu etkinleştirmek için 1 olarak ayarlanmalıdır
Karakter 29 – LDAP Değiştirme işlemleri için Örtük Sahibin geçici olarak kaldırılması
0: Varsayılan Olarak Denetle modu etkindir. Etki alanı yöneticisi hakları olmayan kullanıcılar securityDescriptor'ı , mevcut bilgisayar tarafından türetilen AD nesnelerinde gelecekte kötüye kullanıma izin verebilecek aşırı izinler verebilecek değerlere ayarladığında bir olay günlüğe kaydedilir.
1: Zorlama modu etkin. Bu, etki alanı yöneticisi hakları olmayan kullanıcıların securityDescriptor'ı var olan bilgisayarda türetilmiş AD nesnelerinde aşırı izin verebilen değerlere ayarlamasını önler. Bu durum oluştuğunda bir olay da günlüğe kaydedilir.
2:Güncelleştirilmiş denetimi devre dışı bırakır ve eklenen güvenliği zorlamaz. Önerilmez.
Örnek: Ormanınızda yalnızca Ek AuthZ doğrulamaları dsHeuristics bayrağı ayarlanmışsa ve geçici Örtük Sahipliğin kaldırılması için Zorlama moduna geçmek istiyorsanız , dSHeuristics özniteliği şu şekilde ayarlanmalıdır:
"00000000010000000002000000011"
Bu durumda ayarlanan karakterler şunlardır:
10. karakter: dSHeuristics özniteliği en az 10 karakterse
1 olarak ayarlanmalıdır
20. karakter: dSHeuristics özniteliği en az 20 karakterse
2 olarak ayarlanmalıdır
28. karakter: Ek AuthZ doğrulaması
için Zorlama modunu etkinleştirmek için 1 olarak ayarlanmalıdır
29. karakter: Geçici Örtük Sahipliğin kaldırılması için Zorlama modunu etkinleştirmek için 1 olarak ayarlanmalıdır
Yeni eklenen olaylar
9 Kasım 2021 Windows güncelleştirmesi de yeni olay günlükleri ekleyecektir.
Mod Değişiklik Olayları – LDAP Ekleme işlemleri için ek AuthZ doğrulaması
dSHeuristics özniteliğinin 28. biti değiştirildiğinde gerçekleşen olaylar, güncelleştirmenin LDAP Ekleme işlemleri bölümü için Ek Kimlik Doğrulamalarının modunu değiştirir.
|
Olay Günlüğü |
Dizin Hizmetleri |
|
Olay Türü |
Bilgi |
|
Olay Kimliği |
3050 |
|
Olay Metni |
Dizin, LDAP ekleme işlemleri sırasında öznitelik başına yetkilendirmeyi zorunlu kacak şekilde yapılandırılmıştır. Bu en güvenli ayardır ve başka bir işlem yapılması gerekmez. |
|
Olay Günlüğü |
Dizin Hizmetleri |
|
Olay Türü |
Uyarı |
|
Olay Kimliği |
3051 |
|
Olay Metni |
Dizin, LDAP ekleme işlemleri sırasında öznitelik başına yetkilendirmeyi zorlamamak üzere yapılandırıldı. Uyarı olayları günlüğe kaydedilir, ancak hiçbir istek engellenmez. Bu ayar güvenli değildir ve yalnızca geçici bir sorun giderme adımı olarak kullanılmalıdır. Lütfen aşağıdaki bağlantıda önerilen risk azaltmaları gözden geçirin. |
|
Olay Günlüğü |
Dizin Hizmetleri |
|
Olay Türü |
Hata |
|
Olay Kimliği |
3052 |
|
Olay Metni |
Dizin, LDAP ekleme işlemleri sırasında öznitelik başına yetkilendirmeyi zorlamamak üzere yapılandırıldı. Hiçbir olay günlüğe kaydedilmez ve hiçbir istek engellenmez. Bu ayar güvenli değildir ve yalnızca geçici bir sorun giderme adımı olarak kullanılmalıdır. Lütfen aşağıdaki bağlantıda önerilen risk azaltmaları gözden geçirin. |
Mod Değişiklik Olayları – Örtük Sahip haklarının geçici olarak kaldırılması
dSHeuristics özniteliğinin 29. biti değiştirildiğinde gerçekleşen olaylar, güncelleştirmenin Örtük Sahip hakları bölümünün geçici olarak kaldırılması modunu değiştirir.
|
Olay Günlüğü |
Dizin Hizmetleri |
|
Olay Türü |
Bilgi |
|
Olay Kimliği |
3053 |
|
Olay Metni |
Dizin, LDAP ekleme ve değiştirme işlemleri sırasında nTSecurityDescriptor özniteliğini ayarlarken veya değiştirirken örtük sahip ayrıcalıklarını engelleyecek şekilde yapılandırılmıştır. Bu en güvenli ayardır ve başka bir işlem yapılması gerekmez. |
|
Olay Günlüğü |
Dizin Hizmetleri |
|
Olay Türü |
Uyarı |
|
Olay Kimliği |
3054 |
|
Olay Metni |
Dizin, LDAP ekleme ve değiştirme işlemleri sırasında nTSecurityDescriptor özniteliğini ayarlarken veya değiştirirken örtük sahip ayrıcalıklarına izin verecek şekilde yapılandırılmıştır. Uyarı olayları günlüğe kaydedilir, ancak hiçbir istek engellenmez. Bu ayar güvenli değildir ve yalnızca geçici bir sorun giderme adımı olarak kullanılmalıdır. |
|
Olay Günlüğü |
Dizin Hizmetleri |
|
Olay Türü |
Hata |
|
Olay Kimliği |
3055 |
|
Olay Metni |
Dizin, LDAP ekleme ve değiştirme işlemleri sırasında nTSecurityDescriptor özniteliğini ayarlarken veya değiştirirken örtük sahip ayrıcalıklarına izin verecek şekilde yapılandırılmıştır. Hiçbir olay günlüğe kaydedilmez ve hiçbir istek engellenmez. Bu ayar güvenli değildir ve yalnızca geçici bir sorun giderme adımı olarak kullanılmalıdır. |
Denetim modu olayları
Ldap Ekleme veya Değiştirme işlemiyle olası güvenlik sorunlarını günlüğe kaydetmek için Denetim modunda gerçekleşen olaylar.
|
Olay Günlüğü |
Dizin Hizmetleri |
|
Olay Türü |
Uyarı |
|
Olay Kimliği |
3047 |
|
Olay Metni |
Dizin hizmeti, aşağıdaki nesne için normalde aşağıdaki güvenlik nedenleriyle engellenen bir LDAP ekleme isteği algılamıştır. İstemcinin, varsayılan birleştirilmiş güvenlik tanımlayıcısına bağlı olarak, ekleme isteğine dahil edilen bir veya daha fazla özniteliği yazma izni yoktu. Dizin şu anda bu güvenlik denetimi için yalnızca denetim modunda olacak şekilde yapılandırıldığından isteğin devam etmesine izin verildi. Nesne DN'<oluşturulan nesnenin DN> Nesne sınıfı: nesnenin objectClass> <oluşturuldu Kullanıcı: LDAP ekleme> girişiminde bulunan <kullanıcı İstemci IP Adresi: İstekte bulunan> IP'sini < Güvenlik desc:> denenen SD'yi < |
|
Olay Günlüğü |
Dizin Hizmetleri |
|
Olay Türü |
Uyarı |
|
Olay Kimliği |
3048 |
|
Olay Metni |
Dizin hizmeti, aşağıdaki nesne için normalde aşağıdaki güvenlik nedenleriyle engellenen bir LDAP ekleme isteği algılamıştır. İstemci, ekleme isteğine bir nTSecurityDescriptor özniteliği ekledi, ancak varsayılan birleştirilmiş güvenlik tanımlayıcısına bağlı olarak yeni güvenlik tanımlayıcısının bir veya daha fazla bölümünü yazma iznine sahip değildi. Dizin şu anda bu güvenlik denetimi için yalnızca denetim modunda olacak şekilde yapılandırıldığından isteğin devam etmesine izin verildi. Nesne DN'<oluşturulan nesnenin DN> Nesne sınıfı: nesnenin objectClass> <oluşturuldu Kullanıcı: LDAP ekleme> girişiminde bulunan <kullanıcı İstemci IP Adresi: İstekte bulunan> IP'sini < |
|
Olay Günlüğü |
Dizin Hizmetleri |
|
Olay Türü |
Uyarı |
|
Olay Kimliği |
3049 |
|
Olay Metni |
Dizin hizmeti, aşağıdaki nesne için normalde aşağıdaki güvenlik nedenleriyle engellenmiş bir LDAP değişiklik isteği algılamıştır. İstemci, ekleme isteğine bir nTSecurityDescriptor özniteliği ekledi, ancak varsayılan birleştirilmiş güvenlik tanımlayıcısına bağlı olarak yeni güvenlik tanımlayıcısının bir veya daha fazla bölümünü yazma iznine sahip değildi. Dizin şu anda bu güvenlik denetimi için yalnızca denetim modunda olacak şekilde yapılandırıldığından isteğin devam etmesine izin verildi. Nesne DN'<oluşturulan nesnenin DN> Nesne sınıfı: nesnenin objectClass> <oluşturuldu Kullanıcı: LDAP ekleme> girişiminde bulunan <kullanıcı İstemci IP Adresi: İstekte bulunan> IP'sini < |
|
Olay Günlüğü |
Dizin Hizmetleri |
|
Olay Türü |
Uyarı |
|
Olay Kimliği |
3056 |
|
Olay Metni |
Dizin hizmeti, aşağıda belirtilen nesnede sdRightsEffective özniteliği için bir sorgu işledi. Döndürülen erişim maskesi WRITE_DAC dahil edildi, ancak yalnızca dizin güvenli bir ayar olmayan örtük sahip ayrıcalıklarına izin verecek şekilde yapılandırıldığından. Nesne DN'<oluşturulan nesnenin DN> Kullanıcı: LDAP ekleme> girişiminde bulunan <kullanıcı İstemci IP Adresi: İstekte bulunan> IP'sini < |
Zorlama Modu - LDAP Ekleme hataları
LDAP Ekleme işlemi reddedildiğinde gerçekleşen olaylar.
|
Olay Günlüğü |
Dizin Hizmetleri |
|
Olay Türü |
Uyarı |
|
Olay Kimliği |
3044 |
|
Olay Metni |
Dizin hizmeti aşağıdaki nesne için LDAP ekleme isteğini reddetti. İstemcinin varsayılan birleştirilmiş güvenlik tanımlayıcısına bağlı olarak ekleme isteğine dahil edilen bir veya daha fazla özniteliği yazma izni olmadığından istek reddedildi. Nesne DN'<oluşturulan nesnenin DN> Nesne sınıfı: nesnenin objectClass> <oluşturuldu Kullanıcı: LDAP ekleme> girişiminde bulunan <kullanıcı İstemci IP Adresi: İstekte bulunan> IP'sini < Güvenlik desc:> denenen SD'yi < |
|
Olay Günlüğü |
Dizin Hizmetleri |
|
Olay Türü |
Uyarı |
|
Olay Kimliği |
3045 |
|
Olay Metni |
Dizin hizmeti aşağıdaki nesne için LDAP ekleme isteğini reddetti. İstemci, ekleme isteğine bir nTSecurityDescriptor özniteliği eklediğinden ancak varsayılan birleştirilmiş güvenlik tanımlayıcısına bağlı olarak yeni güvenlik tanımlayıcısının bir veya daha fazla bölümünü yazma izni olmadığı için istek reddedildi. Nesne DN'<oluşturulan nesnenin DN> Nesne sınıfı: nesnenin objectClass> <oluşturuldu Kullanıcı: LDAP ekleme> girişiminde bulunan <kullanıcı İstemci IP Adresi: İstekte bulunan> IP'sini < |
Zorlama Modu - LDAP Değiştirme hataları
LDAP Değiştirme işlemi reddedildiğinde gerçekleşen olaylar.
|
Olay Günlüğü |
Dizin Hizmetleri |
|
Olay Türü |
Uyarı |
|
Olay Kimliği |
3046 |
|
Olay Metni |
Dizin hizmeti, aşağıdaki nesne için LDAP değiştirme isteğini reddetti. İstemci değişiklik isteğine bir nTSecurityDescriptor özniteliği eklediğinden ancak nesnenin mevcut güvenlik tanımlayıcısına bağlı olarak yeni güvenlik tanımlayıcısının bir veya daha fazla bölümünü yazma izni olmadığı için istek reddedildi. Nesne DN'<oluşturulan nesnenin DN> Nesne sınıfı: nesnenin objectClass> <oluşturuldu Kullanıcı: LDAP ekleme> girişiminde bulunan <kullanıcı İstemci IP Adresi: İstekte bulunan> IP'sini < |
Sık sorulan sorular
S1 Güncelleştirilmiş ve güncelleştirilmemiş Active Directory etki alanı denetleyicilerinin bir karışımına sahipsem ne olur?
A1 Güncelleştirilmeyen DC'ler bu güvenlik açığıyla ilgili olayları günlüğe kaydetmez.
S2 Read-Only Etki Alanı Denetleyicileri (RODC) için ne yapmam gerekir?
A2 Hiçbir şey; LDAP Ekleme ve Değiştirme işlemleri RODC'leri hedefleyemez.
Q3 Zorlama modunu etkinleştirdikten sonra başarısız olan bir üçüncü taraf ürünüm veya işlemim var. Hizmet veya kullanıcı etki alanı yöneticisi hakları vermem gerekiyor mu?
A3 Genellikle bu sorunun ilk çözümü olarak Etki Alanı Yöneticileri grubuna bir hizmet veya kullanıcı eklemenizi önermeyiz. Belirli bir iznin gerekli olduğunu görmek için olay günlüklerini inceleyin ve bu amaç için belirlenen ayrı bir Kuruluş Birimi'nde söz konusu kullanıcı için uygun şekilde sınırlı haklar devretmeyi göz önünde bulundurun.
Q4 LDS sunucuları için de denetim olaylarını görüyorum. Bu neden oluyor?
A4Yukarıdakilerin tümü AD LDS için de geçerlidir, ancak LDS'de bilgisayar nesnelerinin olması çok olağan dışıdır. Denetim modu beklenmeyen ayrıcalıkları algılamadığında AD LDS için korumayı etkinleştirmek için de risk azaltma adımları uygulanmalıdır.
