Оновлено 20.03.2024 – додано посилання на СОД
Зведення
CVE-2021-42291 усуває вразливість обходу системи безпеки, яка дає змогу певним користувачам встановлювати довільні значення в атрибутах безпеки певних об'єктів, які зберігаються в Active Directory (AD) або полегшеної служби каталогів (LDS). Щоб використовувати цю вразливість, користувач повинен мати достатні права для створення об'єкта, похідного комп'ютера, наприклад користувач надав Дозволи CreateChild для комп'ютерних об'єктів. Цей користувач може створити обліковий запис комп'ютера за допомогою полегшеного протоколу доступу до каталогів (LDAP) Додати виклик, який забезпечує надмірний дозвіл на доступ до атрибута securityDescriptor . Крім того, автори та власники можуть змінювати атрибути, чутливі до безпеки, після створення облікового запису. Це можна використовувати для виконання підвищення прав у певних сценаріях.
ПриміткаLDS реєструє події 3050, 3053, 3051 і 3054 про стан неявного доступу до об'єктів так само, як і в AD.
Послаблення ризиків у CVE-2021-42291 складаються з:
-
Додаткова перевірка авторизації, коли користувачі без прав адміністратора домену або LDS намагаються додати операцію додавання LDAP для об'єкта, похідного комп'ютером. Сюди входить режим аудиту за промовчанням, який відстежує такі спроби, не втручаючись у запит, і режим примусового виконання, який блокує такі спроби.
-
Тимчасове видалення прав неявного власника, якщо користувачі без прав адміністратора домену намагаються змінити операцію LDAP для атрибута securityDescriptor . Перевірка виконується, щоб підтвердити, чи дозволено користувачеві записувати дескриптор безпеки без прав Неявного власника. Це також включає в себе режим аудиту за замовчуванням, який відстежує, коли такі спроби відбуваються, не втручаючись у запит, і режим примусового виконання, який блокує такі спроби.
Вжити заходів
Щоб захистити середовище та уникнути перебоїв, виконайте такі дії:
-
Оновіть усі пристрої, на яких розміщено контролер домену Active Directory або роль LDS Server, інсталювавши останні оновлення Windows. За замовчуванням зміни в режимі аудиту внесено на DCs, які мають оновлення від 9 листопада 2021 р. або новішої версії.
-
Відстежуйте журнал подій служби каталогів або LDS для подій 3044-3056 на контролерах домену та серверах LDS, які мають оновлення Windows від 9 листопада 2021 р. або пізнішої версії. Події, що реєструються, вказують на те, що користувач може мати надмірні права на створення облікових записів комп'ютера з довільними атрибутами безпеки. Повідомте корпорації Майкрософт про будь-які неочікувані сценарії за допомогою інциденту з підтримкою Premier або Unified Support або Центру відгуків. (Приклад цих подій можна знайти в розділі Щойно додані події.)
-
Якщо в режимі аудиту не виявлено жодних неочікуваних прав протягом достатнього періоду часу, перейдіть у режим примусового виконання, щоб не отримати від'ємні результати. Повідомте корпорації Майкрософт про будь-які неочікувані сценарії за допомогою інциденту з підтримкою Premier або Unified Support або Центру відгуків.
Хронометраж оновлень Windows
Ці оновлення Windows буде випущено у два етапи:
-
Початкове розгортання– загальні відомості про оновлення, зокрема режими аудиту за промовчанням, примусове застосування або вимкнення, які можна настроїти за допомогою атрибута dSHeuristics .
-
Остаточне розгортання – примусове застосування за промовчанням.
9 листопада 2021 р.: початковий етап розгортання
Початковий етап розгортання починається з оновлення Windows, випущеного 9 листопада 2021 року. У цьому випуску додається аудит дозволів, установлених користувачами без прав адміністратора домену під час створення або змінення об'єктів на комп'ютері або комп'ютері. Крім того, буде додано режим примусового виконання та вимкнення. Ви можете встановити глобальний режим для кожного лісу Active Directory за допомогою атрибута dSHeuristics .
(Оновлено 15.12.2023) Етап остаточного розгортання
Останній етап розгортання може початися після виконання кроків, наведених у розділі "Виконати дію". Щоб перейти в режим примусового застосування, дотримуйтеся вказівок у розділі Deployment Guidance (Рекомендації з розгортання), щоб установити 28-й і 29-й біти в атрибуті dSHeuristics . Потім відстежуйте події 3044-3046. Вони повідомляють, коли режим примусового застосування заблокував операцію додавання або змінення LDAP, яку раніше було дозволено в режимі перевірки.
Інструкції з розгортання
Настроювання відомостей про конфігурацію
Після інсталяції CVE-2021-42291 символи 28 і 29 атрибута dSHeuristics керують поведінкою оновлення. Атрибут dSHeuristics існує в кожному лісі Active Directory та містить параметри для всього лісу. Атрибут dSHeuristics – це атрибут об'єкта "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD) або "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS). Докладні відомості див. в статті 6.1.1.2.4.1.2 dSHeuristics and DS-Heuristics attribute .
Символ 28 – додаткові перевірки автентифікації для операцій додавання LDAP
0. Режим аудиту за замовчуванням увімкнуто. Подія записується, коли користувачі без прав адміністратора домену встановлюють дескриптор securityDescriptor або інші атрибути на значення, які можуть надавати надмірні дозволи, потенційно дозволяючи подальшу експлуатацію, на нових об'єктах AD, отриманих на комп'ютері.
1. Активовано режим примусового застосування. Це не дає користувачам без прав адміністратора домену встановлювати дескриптор securityDescriptor або інші атрибути значенням, які можуть надавати надмірні дозволи для об'єктів AD, отриманих на комп'ютері. Подія також записується в журнал, коли це відбувається.
2: Вимикає оновлений аудит і не забезпечує додатковий захист. Не рекомендовано.
Приклад: Якщо в лісі не було ввімкнуто інші параметри dSHeuristics і потрібно перейти в режим примусового застосування для перевірки додаткової автентифікації, атрибут dSHeuristics має бути встановлено на:
"0000000001000000000200000001"
У цьому випадку можна встановити такі символи:
10-й символ: має бути встановлено значення 1, якщо атрибут dSHeuristics має містити не менше 10 символів
20-й символ: має бути встановлено значення 2, якщо атрибут dSHeuristics містить принаймні 20 символів
28-й символ: потрібно встановити значення 1, щоб увімкнути режим примусового застосування для додаткової перевірки authZ
Character 29 – тимчасове видалення неявного власника для операцій змінення LDAP
0. Режим аудиту за замовчуванням увімкнуто. Подія записується, коли користувачі без прав адміністратора домену встановлюють дескриптор безпеки значення, які можуть надавати надмірні дозволи, що може призвести до майбутньої експлуатації на наявних об'єктах AD, отриманих на комп'ютері.
1. Активовано режим примусового застосування. Це не дає користувачам без прав адміністратора домену встановити для дескриптора безпеки значення, які можуть надавати надмірні дозволи для наявних об'єктів AD, отриманих на комп'ютері. Подія також записується в журнал, коли це відбувається.
2:Вимикає оновлений аудит і не забезпечує додатковий захист. Не рекомендовано.
Приклад: Якщо у вашому лісі встановлено лише позначку Додаткові перевірки автентифікації dsHeuristics і потрібно перейти в режим примусового застосування для тимчасового видалення неявних прав власності, атрибут dSHeuristics має бути встановлено на:
"00000000010000000002000000011"
У цьому випадку можна встановити такі символи:
10-й символ: має бути встановлено значення 1, якщо атрибут dSHeuristics має містити не менше 10 символів
20-й символ: має бути встановлено значення 2, якщо атрибут dSHeuristics містить принаймні 20 символів
28-й символ: потрібно встановити значення 1, щоб увімкнути режим примусового застосування для додаткової перевірки
authZ
29-й символ: потрібно встановити значення 1, щоб увімкнути режим примусового застосування для тимчасового видалення неявних прав власності
Нещодавно додані події
Оновлення Windows від 9 листопада 2021 р. також додасть нові журнали подій.
Події змінення режиму – додаткова перевірка автентифікації для операцій додавання LDAP
Події, які відбуваються, коли змінюється розрядність 28 атрибута dSHeuristics , що змінює режим додаткових перевірок автентифікації для частини оновлення додавання операцій LDAP.
|
Журнал подій |
Служби каталогів |
|
Тип події |
Інформаційних |
|
Ідентифікатор події |
3050 |
|
Текст події |
Каталог настроєно на примусове виконання авторизації атрибута під час операцій додавання LDAP. Це найбезпечніша настройка, і подальші дії не потрібні. |
|
Журнал подій |
Служби каталогів |
|
Тип події |
Попередження |
|
Ідентифікатор події |
3051 |
|
Текст події |
Каталог настроєно на те, щоб не застосовувати авторизацію атрибута під час операцій додавання LDAP. Події попередження буде записано, але запити не блокуватимуться. Цей параметр не є безпечним і його слід використовувати лише як тимчасовий крок із виправлення неполадок. Перегляньте рекомендовані засоби послаблення ризиків за посиланням нижче. |
|
Журнал подій |
Служби каталогів |
|
Тип події |
Помилка |
|
Ідентифікатор події |
3052 |
|
Текст події |
Каталог настроєно на те, щоб не застосовувати авторизацію атрибута під час операцій додавання LDAP. Події не буде записано, а запити не блокуватимуться. Цей параметр не є безпечним і його слід використовувати лише як тимчасовий крок із виправлення неполадок. Перегляньте рекомендовані засоби послаблення ризиків за посиланням нижче. |
Події змінення режиму – тимчасове видалення неявних прав власника
Події, які відбуваються, коли змінюється біт 29 атрибута dSHeuristics , що змінює режим тимчасового видалення неявної частини прав власника оновлення.
|
Журнал подій |
Служби каталогів |
|
Тип події |
Інформаційних |
|
Ідентифікатор події |
3053 |
|
Текст події |
Каталог настроєно на блокування неявних прав власника під час початкової настройки або змінення атрибута nTSecurityDescriptor під час операцій додавання та змінення LDAP. Це найбезпечніша настройка, і подальші дії не потрібні. |
|
Журнал подій |
Служби каталогів |
|
Тип події |
Попередження |
|
Ідентифікатор події |
3054 |
|
Текст події |
Каталог настроєно на дозвіл неявних прав власника під час початкової настройки або змінення атрибута nTSecurityDescriptor під час операцій додавання та змінення LDAP. Події попередження буде записано, але запити не блокуватимуться. Цей параметр не є безпечним і його слід використовувати лише як тимчасовий крок із виправлення неполадок. |
|
Журнал подій |
Служби каталогів |
|
Тип події |
Помилка |
|
Ідентифікатор події |
3055 |
|
Текст події |
Каталог настроєно на дозвіл неявних прав власника під час початкової настройки або змінення атрибута nTSecurityDescriptor під час операцій додавання та змінення LDAP. Події не буде записано, а запити не блокуватимуться. Цей параметр не є безпечним і його слід використовувати лише як тимчасовий крок із виправлення неполадок. |
Події в режимі аудиту
Події, які відбуваються в режимі аудиту, щоб записувати потенційні проблеми безпеки за допомогою операції додавання або змінення LDAP.
|
Журнал подій |
Служби каталогів |
|
Тип події |
Попередження |
|
Ідентифікатор події |
3047 |
|
Текст події |
Служба каталогів виявила запит на додавання LDAP для такого об'єкта, який зазвичай було б заблоковано з таких причин безпеки. Клієнт не мав дозволу на записування одного або кількох атрибутів, включених до запиту на додавання, на основі дескриптора безпеки, об'єднаного за промовчанням. Запит дозволено продовжити, оскільки каталог наразі настроєно в режимі лише аудиту для цієї перевірки безпеки. DN об'єкта:> DN створеного об'єкта < Клас об'єкта: <створений objectClass> Користувач: <користувач, який спробував додати> LDAP IP-адреса клієнта: <IP-адресу запитувача> Desc безпеки: <SD- код, який було здійснено> |
|
Журнал подій |
Служби каталогів |
|
Тип події |
Попередження |
|
Ідентифікатор події |
3048 |
|
Текст події |
Служба каталогів виявила запит на додавання LDAP для такого об'єкта, який зазвичай було б заблоковано з таких причин безпеки. Клієнт включив атрибут nTSecurityDescriptor до запиту на додавання, але не мав явного дозволу на записування однієї або кількох частин нового дескриптора безпеки на основі дескриптора безпеки, об'єднаного за промовчанням. Запит дозволено продовжити, оскільки каталог наразі настроєно в режимі лише аудиту для цієї перевірки безпеки. DN об'єкта:> DN створеного об'єкта < Клас об'єкта: <створений objectClass> Користувач: <користувач, який спробував додати> LDAP IP-адреса клієнта: <IP-адресу запитувача> |
|
Журнал подій |
Служби каталогів |
|
Тип події |
Попередження |
|
Ідентифікатор події |
3049 |
|
Текст події |
Служба каталогів виявила запит на змінення LDAP для такого об'єкта, який зазвичай було б заблоковано з таких причин безпеки. Клієнт включив атрибут nTSecurityDescriptor до запиту на додавання, але не мав явного дозволу на записування однієї або кількох частин нового дескриптора безпеки на основі дескриптора безпеки, об'єднаного за промовчанням. Запит дозволено продовжити, оскільки каталог наразі настроєно в режимі лише аудиту для цієї перевірки безпеки. DN об'єкта:> DN створеного об'єкта < Клас об'єкта: <створений objectClass> Користувач: <користувач, який спробував додати> LDAP IP-адреса клієнта: <IP-адресу запитувача> |
|
Журнал подій |
Служби каталогів |
|
Тип події |
Попередження |
|
Ідентифікатор події |
3056 |
|
Текст події |
Служба каталогів обробила запит для атрибута sdRightsEffective об'єкта, указаного нижче. Повернута маска доступу включала WRITE_DAC, але лише тому, що каталог настроєно на дозвіл неявних прав власника, що не є безпечним параметром. DN об'єкта:> DN створеного об'єкта < Користувач: <користувач, який спробував додати> LDAP IP-адреса клієнта: <IP-адресу запитувача> |
Режим примусового застосування – помилки додавання LDAP
Події, які виникають, коли операцію додавання LDAP заборонено.
|
Журнал подій |
Служби каталогів |
|
Тип події |
Попередження |
|
Ідентифікатор події |
3044 |
|
Текст події |
Служба каталогів відхилила запит на додавання LDAP для такого об'єкта. Запит відхилено, оскільки клієнт не має дозволу на записування одного або кількох атрибутів, включених до запиту на додавання, на основі дескриптора безпеки, об'єднаного за промовчанням. DN об'єкта:> DN створеного об'єкта < Клас об'єкта: <створений objectClass> Користувач: <користувач, який спробував додати> LDAP IP-адреса клієнта: <IP-адресу запитувача> Desc безпеки: <SD- код, який було здійснено> |
|
Журнал подій |
Служби каталогів |
|
Тип події |
Попередження |
|
Ідентифікатор події |
3045 |
|
Текст події |
Служба каталогів відхилила запит на додавання LDAP для такого об'єкта. Запит відхилено, оскільки клієнт включив до запиту на додавання атрибут nTSecurityDescriptor, але не мав явного дозволу на записування однієї або кількох частин нового дескриптора безпеки на основі дескриптора безпеки, об'єднаного за промовчанням. DN об'єкта:> DN створеного об'єкта < Клас об'єкта: <створений objectClass> Користувач: <користувач, який спробував додати> LDAP IP-адреса клієнта: <IP-адресу запитувача> |
Режим примусового застосування – помилки змінення LDAP
Події, які виникають під час відмови операції змінення LDAP.
|
Журнал подій |
Служби каталогів |
|
Тип події |
Попередження |
|
Ідентифікатор події |
3046 |
|
Текст події |
Служба каталогів відхилила запит на змінення LDAP для такого об'єкта. Запит відхилено, оскільки клієнт включив до запиту на змінення атрибут nTSecurityDescriptor, але не мав явного дозволу на записування однієї або кількох частин нового дескриптора безпеки на основі наявного дескриптора безпеки об'єкта. DN об'єкта:> DN створеного об'єкта < Клас об'єкта: <створений objectClass> Користувач: <користувач, який спробував додати> LDAP IP-адреса клієнта: <IP-адресу запитувача> |
Запитання й відповіді
1. Що відбувається, якщо в мене є суміш контролерів домену Active Directory, які оновлюються та не оновлюються?
A1 (A1) DCs, які не оновлюються, не буде записувати події, пов'язані з цією вразливістю.
Запитання 2. Що потрібно зробити для Read-Only контролерів домену (RODCs)?
A2 (A2) Нічого; Операції додавання та змінення LDAP не можуть націлюватися на RODCs.
У мене є сторонній продукт або процес, який завершується невдало після ввімкнення режиму примусового застосування. Чи потрібно надати службі або користувачу права адміністратора домену?
A3 (A3) Зазвичай не радимо додавати службу або користувача до групи адміністраторів домену як перше рішення цієї проблеми. Перегляньте журнали подій, щоб дізнатися, який конкретний дозвіл потрібен, і розгляньте можливість делегування відповідних обмежених прав для цього користувача в окремому підрозділі Організації, призначеному для цієї мети.
4-й квартал я бачу події аудиту також для серверів LDS. Чому це відбувається?
A4 (A4)Все вищезазначене також застосовується до AD LDS, хоча дуже незвично мати комп'ютерні об'єкти в СОД. Щоб увімкнути захист ad LDS, коли в режимі аудиту не виявлено жодних неочікуваних прав, слід також виконати кроки зниження ризику.
