Tóm tắt
Ngày 11 tháng 1 năm 2022, các bản cập nhật Windows và các bản cập nhật Windows mới hơn sẽ bổ sung thêm các tùy chọn bảo vệ cho CVE-2022-21913.
Sau khi bạn cài đặt các bản cập nhật Windows ngày 11 tháng 1 năm 2022 hoặc các bản cập nhật Windows mới hơn, mã hóa Mã hóa Nâng cao Standard (AES) sẽ được đặt làm phương pháp mã hóa ưu tiên trên máy khách Windows khi bạn sử dụng giao thức Local Security Authority (Domain Policy) (MS-LSAD) kế thừa cho các hoạt động mật khẩu đối tượng miền đáng tin cậy được gửi qua mạng. Điều này chỉ đúng nếu mã hóa AES được máy chủ hỗ trợ. Nếu mã hóa AES không được máy chủ hỗ trợ, hệ thống sẽ cho phép dự phòng mã hóa RC4 kế thừa.
Các thay đổi trong CVE-2022-21913 dành riêng cho giao thức MS-LSAD. Chúng độc lập với các giao thức khác. MS-LSAD sử dụng Server Message Block (SMB) qua cuộc gọi thủ tục từ xa
(RPC) và các đường ống được đặt tên. Mặc dù SMB cũng hỗ trợ mã hóa nhưng không được bật theo mặc định. Theo mặc định, các thay đổi trong CVE-2022-21913 được bật và cung cấp bảo mật bổ sung ở lớp LSAD. Không yêu cầu thay đổi cấu hình bổ sung nào ngoài việc cài đặt các tùy chọn bảo vệ cho CVE-2022-21913 được bao gồm trong ngày 11 tháng 1 năm 2022, các bản cập nhật Windows và các bản cập nhật Windows mới hơn trên tất cả các phiên bản Windows được hỗ trợ. Các phiên bản Windows không được hỗ trợ sẽ ngừng hoạt động hoặc nâng cấp lên phiên bản được hỗ trợ.
Lưu ý CVE-2022-21913 chỉ sửa đổi cách mật khẩu tin cậy được mã hóa trong quá trình chuyển tiếp khi bạn sử dụng các API cụ thể của giao thức MS-LSAD và đặc biệt không sửa đổi cách lưu trữ mật khẩu. Để biết thêm thông tin về cách mật khẩu được mã hóa khi lưu trữ trong Active Directory và cục bộ trong Cơ sở dữ liệu SAM (sổ đăng ký), hãy xem Tổng quan kỹ thuật Mật khẩu.
Thông tin khác
Các thay đổi được thực hiện bởi bản cập nhật ngày 11 tháng 1 năm 2022
Mẫu đối tượng Chính sách
Các bản cập nhật sửa đổi mô hình đối tượng chính sách của giao thức bằng cách thêm một phương pháp mới Open Policy cho phép máy khách và máy chủ để chia sẻ thông tin về AES hỗ trợ.
Phương pháp cũ sử dụng RC4 Phương pháp mới sử dụng AES LsarOpenPolicy2 (Opnum 44) LsarOpenPolicy3 (Opnum 130) Để biết danh sách đầy đủ các số của giao thức MS-LSAR, hãy xem [MS-LSAD]: Sự kiện Xử lý Thư và Quy tắc Trình tự.
Mẫu Đối tượng Miền Tin cậy
Các bản cập nhật sửa đổi trusted domain object Create pattern of the protocol by adding a new method to create a trust that will use AES to encrypt authentication data.
Giờ đây, API LsaCreateTrustedDomainEx sẽ thích phương pháp mới hơn nếu cả máy khách và máy chủ đều được cập nhật và quay lại phương pháp cũ hơn.Phương pháp cũ sử dụng RC4 Phương pháp mới sử dụng AES LsarCreateTrustedDomainEx2 (Opnum 59) LsarCreateTrustedDomainEx3 (Opnum 129) Các bản cập nhật sửa đổi mô hình Tập Đối tượng Miền Tin cậy của giao thức bằng cách thêm hai lớp Thông tin Tin cậy mới vào các phương pháp LsarSetInformationTrustedDomain (Opnum 27), LsarSetTrustedDomainInfoByName (Opnum 49). Bạn có thể đặt thông tin Đối tượng Miền Tin cậy như sau.
Phương pháp cũ sử dụng RC4 Phương pháp mới sử dụng AES LsarSetInformationTrustedDomain (Opnum 27) cùng với TrustedDomainAuthInformationInternal hoặc TrustedDomainFullInformationInternal (chứa mật khẩu tin cậy được mã hóa sử dụng RC4) LsarSetInformationTrustedDomain (Opnum 27) cùng với TrustedDomainAuthInformationInternalAes hoặc TrustedDomainFullInformationAes (giữ mật khẩu tin cậy được mã hóa sử dụng AES) LsarSetTrustedDomainInfoByName (Opnum 49) cùng với TrustedDomainAuthInformationInternal hoặc TrustedDomainFullInformationInternal (chứa mật khẩu tin cậy được mã hóa sử dụng RC4 và tất cả các thuộc tính khác) LsarSetTrustedDomainInfoByName (Opnum 49) cùng với TrustedDomainAuthInformationInternalAes hoặc TrustedDomainFullFormationInternalAes (giữ mật khẩu tin cậy được mã hóa sử dụng AES và tất cả các thuộc tính khác)
Cách hoạt động của hành vi mới
Phương pháp LsarOpenPolicy2 hiện có thường được sử dụng để mở một xử lý ngữ cảnh cho máy chủ RPC. Đây là chức năng đầu tiên phải được gọi để liên hệ với cơ sở dữ liệu Giao thức Từ xa của Local Security Authority (Domain Policy). Sau khi bạn cài đặt các bản cập nhật này, phương pháp LsarOpenPolicy2 sẽ được thay thế bằng phương pháp LsarOpenPolicy3 mới.
Một máy khách cập nhật gọi API LsaOpenPolicy giờ đây sẽ gọi phương pháp LsarOpenPolicy3 trước tiên. Nếu máy chủ không được cập nhật và không thực hiện phương pháp LsarOpenPolicy3, khách hàng sẽ quay lại phương pháp LsarOpenPolicy2 và sử dụng các phương pháp trước sử dụng mã hóa RC4.
Một máy chủ cập nhật sẽ trả về một bit mới trong phản hồi phương pháp LsarOpenPolicy3, như được định nghĩa LSAPR_REVISION_INFO_V1. Để biết thêm thông tin, hãy xem mục "Sử dụng mật mã AES" và "LSAPR_TRUSTED_DOMAIN_AUTH_INFORMATION_INTERNAL_AES" trong MS-LSAD.
Nếu máy chủ hỗ trợ AES, khách hàng sẽ sử dụng các phương pháp mới và lớp học thông tin mới cho sau đó đáng tin cậy tên miền "tạo" và "thiết lập" hoạt động. Nếu máy chủ không trả về cờ này, hoặc nếu khách hàng không được cập nhật, khách hàng sẽ quay trở lại bằng cách sử dụng các phương pháp trước đó sử dụng mã hóa RC4.
Ghi nhật ký sự kiện
Ngày 11 tháng 1 năm 2022, các bản cập nhật sẽ thêm một sự kiện mới vào nhật ký sự kiện bảo mật để giúp xác định các thiết bị không được cập nhật và giúp cải thiện tính bảo mật.
| Giá trị | Ý nghĩa |
|---|---|
| Nguồn sự kiện | Microsoft-Windows-Security |
| ID Sự kiện | 6425 |
| Cấp độ | Thông tin |
| Văn bản tin nhắn sự kiện | Máy khách mạng sử dụng phương pháp RPC kế thừa để sửa đổi thông tin xác thực trên đối tượng miền tin cậy. Thông tin xác thực đã được mã hóa bằng thuật toán mã hóa kế thừa. Hãy cân nhắc nâng cấp hệ điều hành máy khách hoặc ứng dụng để sử dụng phiên bản mới nhất và an toàn hơn của phương pháp này. Tên miền Tin cậy:
Tên Phương thức RPC: Để biết thêm thông tin, hãy truy cập https://go.microsoft.com/fwlink/?linkid=2161080. |
Câu hỏi thường gặp (FAQ)
Câu hỏi 1: Kịch bản nào kích hoạt hạ cấp từ AES thành RC4?
A1: Hạ cấp xảy ra nếu máy chủ hoặc máy khách không hỗ trợ AES.
Câu hỏi 2: Làm thế nào tôi có thể biết liệu mã hóa RC4 hay mã hóa AES đã được đàm phán?
A2: Các máy chủ cập nhật sẽ ghi nhật ký sự kiện 6425 khi các phương pháp cũ sử dụng RC4 được sử dụng.
Câu hỏi 3: Tôi có thể yêu cầu mã hóa AES trên máy chủ và các bản cập nhật Windows trong tương lai có bắt buộc theo chương trình sử dụng AES không?
A3: Hiện không có chế độ thực thi nào khả dụng. Tuy nhiên, có thể trong tương lai, mặc dù không có thay đổi nào như vậy được lên lịch.
Câu hỏi 4: Khách hàng bên thứ ba có hỗ trợ bảo vệ cho CVE-2022-21913 để thương lượng AES khi được máy chủ hỗ trợ không? Tôi có nên liên hệ với bộ phận Hỗ trợ của Microsoft hoặc nhóm hỗ trợ bên thứ ba để giải quyết câu hỏi này không?
A4: Nếu một thiết bị hoặc ứng dụng của bên thứ ba không sử dụng giao thức MS-LSAD, thì điều này không quan trọng. Nhà cung cấp bên thứ ba thực thi giao thức MS-LSAD có thể chọn thực thi giao thức này. Để biết thêm thông tin, hãy liên hệ với nhà cung cấp bên thứ ba.
Q5: Bạn có phải thực hiện bất kỳ thay đổi cấu hình bổ sung nào không?
A5: Không cần thay đổi cấu hình bổ sung.
Q6: Những gì sử dụng giao thức này?
A6: Giao thức MS-LSAD được sử dụng bởi nhiều cấu phần Windows, bao gồm Active Directory và các công cụ như Miền Active Directory và bảng điều khiển Trusts. Các ứng dụng cũng có thể sử dụng giao thức này thông qua API thư viện advapi32, chẳng hạn như LsaOpenPolicy hoặc LsaCreateTrustedDomainEx.