ОНОВЛЕНО 14 березня 2023 р.
Зведення
CVE-2021-42287 усуває вразливість обходу системи безпеки, яка впливає на сертифікат привілейованого атрибута Kerberos (PAC) і дозволяє потенційним зловмисникам уособлювати контролери домену. Щоб скористатися цією вразливістю, зламаний обліковий запис домену може призвести до створення квитка на обслуговування з вищим рівнем прав, ніж обліковий запис, порушеного безпекою, центром розподілу ключів (KDC). Вона досягає цього, запобігаючи KDC визначити, для якого облікового запису призначено квиток на вищу привілейовану послугу.
Покращений процес автентифікації в CVE-2021-42287 додає нові відомості про вихідного запитувача до PACS Kerberos Ticket-Granting Tickets (TGT). Пізніше, коли для облікового запису створиться запит служби Kerberos, новий процес автентифікації перевірить, що обліковий запис, який запитав TGT, – це той самий обліковий запис, на який посилається запит на обслуговування.
Після інсталяції оновлень Windows, випущених 9 листопада 2021 року або пізнішої версії, PACs буде додано до TGT всіх облікових записів доменів, навіть тих, які раніше вирішили відхилити PACs.
Вжити заходів
Щоб захистити середовище та уникнути перебоїв, виконайте такі дії:
-
Оновіть усі пристрої, на яких розміщено роль контролера домену Active Directory, інсталювавши оновлення системи безпеки від 9 листопада 2021 року та оновлення OOB від 14 листопада 2021 року. Знайдіть номер OOB KB для певної ОС нижче.
ОС
Номер KB
Windows Server 2016
Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 з пакетом оновлень 1 (SP1)
Windows Server 2008 SP2
-
Після інсталяції оновлення системи безпеки від 9 листопада 2021 року та оновлення OOB від 14 листопада 2021 року на всіх контролерах домену Active Directory принаймні на 7 днів ми наполегливо радимо ввімкнути режим примусового застосування на всіх контролерах домену Active Directory.
-
Починаючи з (оновлено) 11 жовтня 2022 примусового етапу оновлення, примусове застосування режим буде ввімкнуто на всіх контролерах домену Windows і буде необхідно.
Хронометраж оновлень Windows – (Оновлено 31.01.23)
Ці Оновлення Windows буде випущено в три етапи:
-
Початкове розгортання – введення оновлення, а також розділ реєстру PacRequestorEnforcement
-
Друге розгортання – видалення значення PacRequestorEnforcement 0 (можливість вимкнути розділ реєстру)
-
Етап примусового застосування– активовано режим примусового застосування. Цей етап вилучає ключ PacRequestorEnforcement і більше не читає його
9 листопада 2021 р.: початковий етап розгортання
Початковий етап розгортання починається з оновлення Windows, випущеного 9 листопада 2021 року. Цей випуск:
-
Додано захист від CVE-2021-42287
-
Додано підтримку значення реєстру PacRequestorEnforcement , яке дає змогу перейти до етапу примусового виконання раніше
Зниження ризику складається з інсталяції оновлень Windows на всіх пристроях, на яких розміщено роль контролера домену та контролери домену лише для читання (RODCs).
12 липня 2022 р.: другий етап розгортання
Другий етап розгортання починається з оновлення Windows, випущеного 12 липня 2022 року. Цей етап видаляє параметр PacRequestorEnforcement 0. Параметр PacRequestorEnforcement значення 0 після інсталяції цього оновлення матиме такий самий ефект, як і для параметра PacRequestorEnforcement значення 1. Контролери домену (DCs) будуть у режимі розгортання.
Примітка Цей етап не потрібен, якщо в середовищі PacRequestorEnforcement ніколи не було встановлено значення 0. Цей етап гарантує, що клієнти, які встановили для PacRequestorEnforcement значення 0, перемістяться до параметра 1 до етапу примусового застосування.
Нотатка Це оновлення передбачає, що всі контролери домену оновлюються з 9 листопада 2021 р. або пізнішої версії оновлення Windows.
11 жовтня 2022: Етап примусового виконання - (Оновлено 31.01.23)
Випуск від 11 жовтня 2022 року переключить усіх контролерів домену Active Directory на етап примусового виконання. Етап примусового застосування не підтримує ключ PacRequestorEnforcement і більше не читає його. Тому контролери домену Windows, які інсталювали оновлення від 11 жовтня 2022 р., більше не будуть сумісні з:
-
Контролери домену, які не інсталювали оновлення від 9 листопада 2021 р. або пізнішої версії.
-
Контролери домену, які інсталювали оновлення від 9 листопада 2021 року або пізнішої версії, але ще не інсталювали оновлення від 12 липня 2022 р. та які мають значення реєстру PacRequestorEnforcement 0.
Однак контролери домену Windows, які інсталювали оновлення від 11 жовтня 2022 року, залишаться сумісними з:
-
Контролери домену Windows, на яких інстальовано оновлення від 11 жовтня 2022 р. або пізнішої версії
-
Контролери домену Window, які інсталювали оновленнявід 9 листопада 2021 р. або пізнішої версії та мають значення PacRequestorEnforcement або 1 або 2
Відомості розділу реєстру
Після інсталяції захисту CVE-2021-42287 в оновленнях Windows, випущених у період з 9 листопада 2021 року по 14 червня 2022 року, буде доступний такий розділ реєстру:
Підрозділ реєстру |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
Значення |
PacRequestorEnforcement |
Тип даних |
REG_DWORD |
Дані |
1. Додайте новий PAC для користувачів, які автентифікували за допомогою контролера домену Active Directory, на якому інстальовано оновлення від 9 листопада 2021 року або пізнішої версії. Під час автентифікації, якщо користувач має новий PAC, PAC перевіряється. Якщо в користувача немає нового PAC-файлу, подальших дій не буде виконано. Контролери домену Active Directory в цьому режимі перебувають на етапі розгортання. 2. Додайте новий PAC для користувачів, які автентифікували за допомогою контролера домену Active Directory, на якому інстальовано оновлення від 9 листопада 2021 р. або пізнішої версії. Під час автентифікації, якщо користувач має новий PAC, PAC перевіряється. Якщо в користувача немає нового PAC-файлу, автентифікацію заборонено. Контролери домену Active Directory в цьому режимі перебувають на етапі примусового виконання. 0. Вимикає розділ реєстру. Не рекомендовано. Контролери домену Active Directory в цьому режимі перебувають на етапі Вимкнуто. Це значення не існуватиме після оновлення від 12 липня 2022 р. або пізнішої версії. Важливо Параметр 0 несумісний із параметром 2. Періодичні помилки можуть виникати, якщо обидва параметри використовуються в лісі. Якщо використовується параметр 0, радимо встановити для параметра 0 (Вимкнути) значення 1 (розгортання) принаймні за тиждень до переходу до параметра 2 (режим примусового застосування). |
За замовчуванням |
1 (якщо розділ реєстру не встановлено) |
Чи потрібне перезавантаження? |
Ні |
Події аудиту
Оновлення Windows від 9 листопада 2021 р. також додасть нові журнали подій.
PAC без атрибутів
KDC виявляє TGT без буфера PAC Attribute. Імовірно, інший KDC в журналах не містить оновлення або перебуває в неактивному режимі.
Журнал подій |
Система |
Тип події |
Попередження |
Джерело події |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ідентифікатор події |
35 |
Текст події |
Центр ключових розсилки (KDC) виявив квиток-грантовий квиток (TGT) з іншого KDC ("<ім'я KDC>"), який не містив поле PAC-атрибутів. |
Квиток без PAC
KDC стикається з TGT або іншим доказом квиток без PAC. Це не дозволить KDC забезпечити перевірку безпеки квитка.
Журнал подій |
Система |
Тип події |
Попередження на етапі розгортання Помилка під час етапу примусового виконання |
Джерело події |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ідентифікатор події |
36 |
Текст події |
Центр ключових розсилки (KDC) виявив квиток, який не містив PAC під час обробки запиту на інший квиток. Це запобігло перевірці безпеки та може відкрити вразливості системи безпеки. Клієнт: <ім'я домену>\<ім'я користувача> Квиток на: <ім'я служби> |
Квиток без ініціатора запиту
KDC виявляє TGT або інший квиток доказів без буфера PAC Requestor. Імовірно, KDC, який сконструював PAC, не містить оновлення або перебуває в неактивному режимі.
Примітка Важливу інформацію про подію 37 див. в розділі Відомі проблеми .
Журнал подій |
Система |
Тип події |
Попередження на етапі розгортання Помилка під час етапу примусового виконання |
Джерело події |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ідентифікатор події |
37 |
Текст події |
У Центрі розподілу ключів (KDC) виявлено квиток, який не містить відомостей про обліковий запис, який запитав квиток під час обробки запиту на інший квиток. Це запобігло перевірці безпеки та може відкрити вразливості системи безпеки. Квиток PAC побудований: <ім'я KDC> Клієнт: <ім'я домену>\<ім'я клієнта> Квиток на: <ім'я служби> |
Невідповідність запиту
KDC стикається з TGT або іншим запитом доказів, і обліковий запис, який запитав TGT або доказовий квиток, не відповідає обліковому запису, для якого побудовано квиток на обслуговування.
Журнал подій |
Система |
Тип події |
Помилка |
Джерело події |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
Ідентифікатор події |
38 |
Текст події |
Центр розподілу ключів (KDC) виявив квиток, який містив несумісні відомості про обліковий запис, який запитав квиток. Це може означати, що обліковий запис перейменовано з моменту видачі квитка, який, можливо, був частиною спроби експлойта. Квиток PAC побудований: <Kdc ім'я> Клієнт: <ім'я домену>\<ім'я користувача> Квиток на: <ім'я служби> Запит sid облікового запису зі служби Active Directory: <SID> Запит облікового запису SID із квитка: <SID> |
Відомі проблеми
Проблема |
Тимчасове вирішення |
---|---|
Після інсталяції оновлень Windows, випущених 9 листопада 2021 р. або пізнішої версії на контролерах домену (DCs), деякі клієнти можуть бачити новий ідентифікатор події аудиту 37, зареєстрований після певних настройок пароля або операцій змінення, наприклад:
Якщо подія з ідентифікатором 37 не відображається після інсталяції оновлень Windows, випущених 9 листопада 2021 р. або пізнішої версії протягом тижня, а PacRequestorEnforcement – "1" або "2", це не вплине на ваше середовище. Якщо встановити PacRequestorEnforcement = 1, подія з ідентифікатором 37 записується як попередження, але запити на змінення пароля будуть успішними та не впливатимуть на користувачів. Якщо ви встановите PacRequestorEnforcement = 2, запити на змінення пароля не вдасться і призведе до помилки операцій, перелічених вище. |
Цю проблему вирішено в таких оновленнях:
|
Запитання й відповіді
1. Що відбувається, якщо в мене є суміш контролерів домену Active Directory, які оновлюються та не оновлюються?
A1. Поєднання контролерів домену, які оновлюються та не оновлюються, але мають значення 1 розділу реєстру PacRequestorEnforcement за промовчанням, сумісні один з одним. Однак корпорація Майкрософт наполегливо радить не мати контролери домену, які оновлюються та не оновлюються в середовищі.
2. Що станеться, якщо в мене є суміш контролерів домену Active Directory, які мають різні значення PacRequestorEnforcement?
A2. Поєднання контролерів домену, які мають значення PacRequestorEnforcement 0 і 1, сумісні між собою. Поєднання контролерів домену, які мають значення PacRequestorEnforcement 1 і 2, сумісні між собою. Поєднання контролерів домену, які мають значення PacRequestorEnforcement 0 і 2 , несумісні один з одним і можуть викликати періодичні помилки. Докладні відомості див. в розділі Відомості про розділ реєстру.