Đã cập nhật vào ngày 20 tháng 3 năm 2024 – Các tài liệu tham khảo bổ sung về LDS
Tóm tắt
CVE-2021-42291 khắc phục lỗ hổng bỏ qua bảo mật cho phép một số người dùng đặt các giá trị tùy ý trên các thuộc tính nhạy cảm bảo mật của các đối tượng cụ thể được lưu trữ trong Active Directory (AD) hoặc Dịch vụ Thư mục Nhẹ (LDS). Để khai thác lỗ hổng này, người dùng phải có đủ đặc quyền để tạo ra một máy tính dẫn xuất đối tượng, chẳng hạn như một người dùng cấp CreateChild quyền cho các đối tượng máy tính. Người dùng đó có thể tạo tài khoản máy tính bằng cách sử dụng Giao thức Truy nhập Thư mục Nhẹ (LDAP) Thêm cuộc gọi cho phép truy nhập quá mức vào thuộc tính securityDescriptor . Ngoài ra, người tạo và chủ sở hữu có thể sửa đổi các thuộc tính nhạy cảm với bảo mật sau khi tạo tài khoản. Điều này có thể được tận dụng để thực hiện nâng cao đặc quyền trong một số kịch bản nhất định.
Lưu ýLDS sẽ ghi nhật ký các sự kiện 3050, 3053, 3051 và 3054 về tình trạng truy cập ngầm vào các đối tượng, giống như AD thực hiện.
Các biện pháp giảm nhẹ trong CVE-2021-42291 bao gồm:
-
Xác minh ủy quyền bổ sung khi người dùng không có quyền quản trị viên LDS hoặc miền cố gắng thực hiện thao tác Thêm LDAP cho đối tượng xuất phát từ máy tính. Điều này bao gồm chế độ Kiểm tra Theo Mặc định kiểm tra khi những nỗ lực đó xảy ra mà không can thiệp vào yêu cầu và chế độ Thực thi chặn những nỗ lực đó.
-
Loại bỏ tạm thời các đặc quyền sở hữu ngầm khi người dùng không có quyền người quản trị miền cố gắng thực hiện thao tác Sửa đổi LDAP trên thuộc tính securityDescriptor . Việc xác minh sẽ xảy ra để xác nhận xem người dùng có được phép viết mô tả bảo mật không có đặc quyền Chủ sở hữu Ngầm hay không. Điều này cũng bao gồm chế độ Kiểm tra Theo Mặc định kiểm tra khi những nỗ lực đó xảy ra mà không can thiệp vào yêu cầu và chế độ Thực thi chặn những nỗ lực đó.
Thực hiện Hành động
Để bảo vệ môi trường của bạn và tránh mất điện, vui lòng hoàn thành các bước sau:
-
Cập nhật tất cả các thiết bị lưu trữ bộ điều khiển miền Active Directory hoặc vai trò Máy chủ LDS bằng cách cài đặt các bản cập nhật Windows mới nhất. Các PC có bản cập nhật ngày 9 tháng 11 năm 2021 trở lên sẽ có các thay đổi trong chế độ Kiểm tra theo mặc định.
-
Giám sát Dịch vụ Thư mục hoặc nhật ký sự kiện LDS cho các sự kiện 3044-3056 trên bộ kiểm soát miền và máy chủ LDS có các bản cập nhật Windows ngày 9 tháng 11 năm 2021 trở lên. Các sự kiện được ghi nhật ký cho thấy người dùng có thể có quá nhiều đặc quyền để tạo tài khoản máy tính có các thuộc tính nhạy cảm với bảo mật tùy ý. Báo cáo mọi trường hợp không mong muốn cho Microsoft bằng cách sử dụng trường hợp Hỗ trợ Cao cấp hoặc Hợp nhất hoặc Hub Phản hồi. (Bạn có thể tìm thấy ví dụ về những sự kiện này trong phần Sự kiện Mới Thêm.)
-
Nếu chế độ kiểm tra không phát hiện bất kỳ đặc quyền bất ngờ cho một đủ thời gian, chuyển sang chế độ thực thi để đảm bảo rằng không có kết quả tiêu cực xảy ra. Báo cáo mọi trường hợp không mong muốn cho Microsoft bằng cách sử dụng trường hợp Hỗ trợ Cao cấp hoặc Hợp nhất hoặc Hub Phản hồi.
Thời gian cập nhật Windows
Các bản cập nhật Windows này sẽ được phát hành theo hai giai đoạn:
-
Triển khai ban đầu – Giới thiệu về bản cập nhật, bao gồm chế độ Kiểm tra Theo Mặc định, Thực thi hoặc Vô hiệu hóa có thể cấu hình bằng cách sử dụng thuộc tính dSHeuristics .
-
Triển khai cuối cùng – Thực thi Theo Mặc định.
Ngày 9 tháng 11 năm 2021: Giai đoạn triển khai ban đầu
Giai đoạn triển khai ban đầu bắt đầu với bản cập nhật Windows được phát hành vào ngày 9 tháng 11 năm 2021. Bản phát hành này thêm việc kiểm tra các quyền được thiết lập bởi người dùng không có quyền quản trị viên miền trong quá trình tạo hoặc sửa đổi một máy tính hoặc máy tính dẫn xuất các đối tượng. Nó cũng thêm một Thực thi và một chế độ Vô hiệu hóa. Bạn có thể đặt chế độ toàn bộ cho mỗi rừng Active Directory bằng cách sử dụng thuộc tính dSHeuristics .
(Cập nhật vào 15/12/2023) Giai đoạn triển khai cuối cùng
Giai đoạn triển khai cuối cùng có thể bắt đầu sau khi bạn đã hoàn thành các bước được liệt kê trong phần Thực hiện Hành động. Để chuyển sang Chế độ Thực thi, hãy làm theo các hướng dẫn trong mục Hướng dẫn Triển khai để đặt các bit thứ 28 và 29 trên thuộc tính dSHeuristics . Sau đó theo dõi các sự kiện 3044-3046. Họ báo cáo khi Chế độ Thực thi đã chặn thao tác Thêm hoặc Sửa đổi LDAP mà trước đó có thể đã được cho phép trong chế độ Kiểm tra.
Hướng dẫn triển khai
Đặt Thông tin Cấu hình
Sau khi cài đặt CVE-2021-42291, các ký tự 28 và 29 của thuộc tính dSHeuristics kiểm soát hành vi của bản cập nhật. Thuộc tính dSHeuristics tồn tại trong mỗi rừng Active Directory và chứa các cài đặt cho toàn bộ rừng. Thuộc tính dSHeuristics là thuộc tính của "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD ) hoặc "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS). Xem 6.1.1.2.4.1.2 dSHeuristics và thuộc tính DS-Heuristics để biết thêm thông tin.
Ký tự 28 – Xác minh AuthZ bổ sung cho các thao tác Thêm LDAP
0: Chế độ Kiểm tra theo Mặc định được bật. Sự kiện được ghi nhật ký khi người dùng không có quyền của người quản trị miền đặt securityDescriptor hoặc các thuộc tính khác cho các giá trị có thể cấp quyền quá mức, có khả năng cho phép khai thác trong tương lai, trên các đối tượng AD dẫn xuất máy tính mới.
1: Chế độ thực thi được bật. Điều này ngăn người dùng không có quyền của người quản trị miền cài đặt securityDescriptor hoặc các thuộc tính khác cho các giá trị có thể cấp quyền quá mức đối với các đối tượng AD xuất phát từ máy tính. Sự kiện cũng được ghi nhật ký khi điều này xảy ra.
2:Tắt tính năng kiểm tra cập nhật và không thực thi bảo mật bổ sung. Không khuyên dùng.
Ví dụ: Nếu bạn không có cài đặt dSHeuristics nào khác được bật trong rừng của bạn và bạn muốn chuyển sang chế độ Thực thi để xác minh AuthZ bổ sung, thuộc tính dSHeuristics nên được đặt thành:
"0000000001000000000200000001"
Các ký tự được đặt trong trường hợp này là:
10th char: Phải được đặt thành 1 nếu thuộc tính dSHeuristics ít nhất là 10 ký tự
20th char: Phải được đặt thành 2 nếu thuộc tính dSHeuristics ít nhất là 20 ký tự
Kýtự thứ 28: Phải được đặt thành 1 để bật chế độ Thực thi để xác minh AuthZ bổ sung
Ký tự 29 – Loại bỏ tạm thời Chủ sở hữu Ẩn cho các thao tác Sửa đổi LDAP
0: Chế độ Kiểm tra theo Mặc định được bật. Một sự kiện được ghi nhật ký khi người dùng không có quyền của người quản trị miền đặt securityDescriptor cho các giá trị có thể cấp quyền quá mức, có khả năng cho phép khai thác trong tương lai, trên các đối tượng AD dẫn xuất máy tính hiện có.
1: Chế độ thực thi được bật. Điều này ngăn người dùng không có quyền của người quản trị miền khi thiết đặt securityDescriptor cho các giá trị có thể cấp quá nhiều quyền đối với các đối tượng AD có nguồn gốc từ máy tính hiện có. Sự kiện cũng được ghi nhật ký khi điều này xảy ra.
2:Tắt tính năng kiểm tra cập nhật và không thực thi bảo mật bổ sung. Không khuyên dùng.
Ví dụ: Nếu bạn chỉ có cờ xác minh authZ bổ sung dsHeuristics trong rừng của bạn và bạn muốn chuyển sang chế độ Thực thi để loại bỏ Quyền sở hữu ẩn tạm thời, thuộc tính dSHeuristics nên được đặt thành:
"00000000010000000002000000011"
Các ký tự được đặt trong trường hợp này là:
10th char: Phải được đặt thành 1 nếu thuộc tính dSHeuristics ít nhất là 10 ký tự
20th char: Phải được đặt thành 2 nếu thuộc tính dSHeuristics ít nhất là 20 ký tự
Kýtự thứ 28: Phải được đặt thành 1 để bật chế độ Thực thi để xác minh AuthZ bổ sung
Ký tự thứ29: Phải được đặt thành 1 để bật chế độ Thực thi để loại bỏ Quyền sở hữu Ẩn tạm thời
Sự kiện mới thêm
Bản cập nhật Windows ngày 9 tháng 11 năm 2021 cũng sẽ thêm nhật ký sự kiện mới.
Sự kiện Thay đổi Chế độ – Xác minh AuthZ bổ sung cho các thao tác Thêm LDAP
Sự kiện xảy ra khi bit 28 thuộc tính dSHeuristics thay đổi, thay đổi chế độ xác minh AuthZ bổ sung cho phần thao tác LDAP Thêm của bản cập nhật.
|
Nhật ký Sự kiện |
Dịch vụ Thư mục |
|
Loại Sự kiện |
Thông tin |
|
ID Sự kiện |
3050 |
|
Văn bản Sự kiện |
Thư mục đã được cấu hình để thực thi ủy quyền theo thuộc tính trong quá trình thêm LDAP. Đây là cài đặt an toàn nhất và không cần thực hiện thêm hành động nào khác. |
|
Nhật ký Sự kiện |
Dịch vụ Thư mục |
|
Loại Sự kiện |
Cảnh báo |
|
ID Sự kiện |
3051 |
|
Văn bản Sự kiện |
Thư mục đã được cấu hình để không thực thi ủy quyền cho mỗi thuộc tính trong quá trình thêm LDAP. Các sự kiện cảnh báo sẽ được ghi nhật ký nhưng sẽ không có yêu cầu nào bị chặn. Cài đặt này không an toàn và chỉ nên được sử dụng làm bước khắc phục sự cố tạm thời. Vui lòng xem lại các biện pháp giảm nhẹ được đề xuất trong liên kết bên dưới. |
|
Nhật ký Sự kiện |
Dịch vụ Thư mục |
|
Loại Sự kiện |
Lỗi |
|
ID Sự kiện |
3052 |
|
Văn bản Sự kiện |
Thư mục đã được cấu hình để không thực thi ủy quyền cho mỗi thuộc tính trong quá trình thêm LDAP. Sẽ không có sự kiện nào được ghi nhật ký và sẽ không có yêu cầu nào bị chặn. Cài đặt này không an toàn và chỉ nên được sử dụng làm bước khắc phục sự cố tạm thời. Vui lòng xem lại các biện pháp giảm nhẹ được đề xuất trong liên kết bên dưới. |
Sự kiện Thay đổi Chế độ – xóa tạm thời các quyền của Chủ sở hữu Ẩn
Các sự kiện xảy ra khi bit 29 thuộc tính dSHeuristics thay đổi, thay đổi chế độ loại bỏ tạm thời các quyền chủ sở hữu ẩn phần của bản cập nhật.
|
Nhật ký Sự kiện |
Dịch vụ Thư mục |
|
Loại Sự kiện |
Thông tin |
|
ID Sự kiện |
3053 |
|
Văn bản Sự kiện |
Thư mục đã được cấu hình để chặn đặc quyền sở hữu ẩn khi thiết đặt ban đầu hoặc sửa đổi thuộc tính nTSecurityDescriptor trong LDAP thêm và sửa đổi hoạt động. Đây là cài đặt an toàn nhất và không cần thực hiện thêm hành động nào khác. |
|
Nhật ký Sự kiện |
Dịch vụ Thư mục |
|
Loại Sự kiện |
Cảnh báo |
|
ID Sự kiện |
3054 |
|
Văn bản Sự kiện |
Thư mục đã được cấu hình để cho phép đặc quyền sở hữu ngầm khi thiết đặt ban đầu hoặc sửa đổi thuộc tính nTSecurityDescriptor trong LDAP thêm và sửa đổi hoạt động. Các sự kiện cảnh báo sẽ được ghi nhật ký nhưng sẽ không có yêu cầu nào bị chặn. Cài đặt này không an toàn và chỉ nên được sử dụng làm bước khắc phục sự cố tạm thời. |
|
Nhật ký Sự kiện |
Dịch vụ Thư mục |
|
Loại Sự kiện |
Lỗi |
|
ID Sự kiện |
3055 |
|
Văn bản Sự kiện |
Thư mục đã được cấu hình để cho phép đặc quyền sở hữu ngầm khi thiết đặt ban đầu hoặc sửa đổi thuộc tính nTSecurityDescriptor trong LDAP thêm và sửa đổi hoạt động. Sẽ không có sự kiện nào được ghi nhật ký và sẽ không có yêu cầu nào bị chặn. Cài đặt này không an toàn và chỉ nên được sử dụng làm bước khắc phục sự cố tạm thời. |
Sự kiện về chế độ kiểm tra
Các sự kiện xảy ra trong chế độ Kiểm tra để ghi nhật ký các vấn đề bảo mật tiềm ẩn với thao tác Thêm hoặc Sửa đổi LDAP.
|
Nhật ký Sự kiện |
Dịch vụ Thư mục |
|
Loại Sự kiện |
Cảnh báo |
|
ID Sự kiện |
3047 |
|
Văn bản Sự kiện |
Dịch vụ thư mục đã phát hiện yêu cầu thêm LDAP đối với đối tượng sau mà thường sẽ bị chặn vì những lý do bảo mật sau. Máy khách không có quyền ghi một hoặc nhiều thuộc tính có trong yêu cầu thêm, dựa trên bộ mô tả bảo mật được phối mặc định. Yêu cầu được phép tiếp tục vì thư mục hiện được đặt cấu hình ở chế độ chỉ kiểm tra cho kiểm tra bảo mật này. DN Đối tượng: <DN của đối tượng đã tạo> Lớp đối tượng: <đối tượng đã tạo ObjectClass> Người dùng: <người dùng đã cố gắng thêm LDAP> Địa chỉ IP máy khách: <IP của người yêu cầu> An ninh desc: <SD đã được cố gắng> |
|
Nhật ký Sự kiện |
Dịch vụ Thư mục |
|
Loại Sự kiện |
Cảnh báo |
|
ID Sự kiện |
3048 |
|
Văn bản Sự kiện |
Dịch vụ thư mục đã phát hiện yêu cầu thêm LDAP đối với đối tượng sau mà thường sẽ bị chặn vì những lý do bảo mật sau. Máy khách bao gồm thuộc tính nTSecurityDescriptor trong yêu cầu thêm nhưng không có quyền rõ ràng để viết một hoặc nhiều phần của bộ mô tả bảo mật mới, dựa trên bộ mô tả bảo mật được phối mặc định. Yêu cầu được phép tiếp tục vì thư mục hiện được đặt cấu hình ở chế độ chỉ kiểm tra cho kiểm tra bảo mật này. DN Đối tượng: <DN của đối tượng đã tạo> Lớp đối tượng: <đối tượng đã tạo ObjectClass> Người dùng: <người dùng đã cố gắng thêm LDAP> Địa chỉ IP máy khách: <IP của người yêu cầu> |
|
Nhật ký Sự kiện |
Dịch vụ Thư mục |
|
Loại Sự kiện |
Cảnh báo |
|
ID Sự kiện |
3049 |
|
Văn bản Sự kiện |
Dịch vụ thư mục đã phát hiện yêu cầu sửa đổi LDAP đối với đối tượng sau mà thường sẽ bị chặn vì những lý do bảo mật sau. Máy khách bao gồm thuộc tính nTSecurityDescriptor trong yêu cầu thêm nhưng không có quyền rõ ràng để viết một hoặc nhiều phần của bộ mô tả bảo mật mới, dựa trên bộ mô tả bảo mật được phối mặc định. Yêu cầu được phép tiếp tục vì thư mục hiện được đặt cấu hình ở chế độ chỉ kiểm tra cho kiểm tra bảo mật này. DN Đối tượng: <DN của đối tượng đã tạo> Lớp đối tượng: <đối tượng đã tạo ObjectClass> Người dùng: <người dùng đã cố gắng thêm LDAP> Địa chỉ IP máy khách: <IP của người yêu cầu> |
|
Nhật ký Sự kiện |
Dịch vụ Thư mục |
|
Loại Sự kiện |
Cảnh báo |
|
ID Sự kiện |
3056 |
|
Văn bản Sự kiện |
Dịch vụ thư mục đã xử lý truy vấn cho thuộc tính sdRightsEffective trên đối tượng được chỉ định bên dưới. Dấu hiệu truy nhập trả về bao WRITE_DAC, nhưng chỉ vì thư mục đã được cấu hình để cho phép các đặc quyền chủ sở hữu ngầm không phải là thiết đặt bảo mật. DN Đối tượng: <DN của đối tượng đã tạo> Người dùng: <người dùng đã cố gắng thêm LDAP> Địa chỉ IP máy khách: <IP của người yêu cầu> |
Chế độ Thực thi - Thêm lỗi LDAP
Sự kiện xảy ra khi thao tác Thêm LDAP bị từ chối.
|
Nhật ký Sự kiện |
Dịch vụ Thư mục |
|
Loại Sự kiện |
Cảnh báo |
|
ID Sự kiện |
3044 |
|
Văn bản Sự kiện |
Dịch vụ thư mục đã từ chối yêu cầu thêm LDAP đối với đối tượng sau đây. Yêu cầu bị từ chối vì khách hàng không có quyền ghi một hoặc nhiều thuộc tính có trong yêu cầu thêm, dựa trên bộ mô tả bảo mật được phối mặc định. DN Đối tượng: <DN của đối tượng đã tạo> Lớp đối tượng: <đối tượng đã tạo ObjectClass> Người dùng: <người dùng đã cố gắng thêm LDAP> Địa chỉ IP máy khách: <IP của người yêu cầu> An ninh desc: <SD đã được cố gắng> |
|
Nhật ký Sự kiện |
Dịch vụ Thư mục |
|
Loại Sự kiện |
Cảnh báo |
|
ID Sự kiện |
3045 |
|
Văn bản Sự kiện |
Dịch vụ thư mục đã từ chối yêu cầu thêm LDAP đối với đối tượng sau đây. Yêu cầu bị từ chối vì máy khách bao gồm một thuộc tính nTSecurityDescriptor trong yêu cầu thêm nhưng không có quyền rõ ràng để viết một hoặc nhiều phần của bộ mô tả bảo mật mới, dựa trên bộ mô tả bảo mật được phối mặc định. DN Đối tượng: <DN của đối tượng đã tạo> Lớp đối tượng: <đối tượng đã tạo ObjectClass> Người dùng: <người dùng đã cố gắng thêm LDAP> Địa chỉ IP máy khách: <IP của người yêu cầu> |
Chế độ Thực thi - Sửa đổi lỗi LDAP
Sự kiện xảy ra khi thao tác Sửa đổi LDAP bị từ chối.
|
Nhật ký Sự kiện |
Dịch vụ Thư mục |
|
Loại Sự kiện |
Cảnh báo |
|
ID Sự kiện |
3046 |
|
Văn bản Sự kiện |
Dịch vụ thư mục đã từ chối yêu cầu sửa đổi LDAP đối với đối tượng sau đây. Yêu cầu bị từ chối vì máy khách bao gồm một thuộc tính nTSecurityDescriptor trong yêu cầu sửa đổi nhưng không có quyền rõ ràng để viết một hoặc nhiều phần của bộ mô tả bảo mật mới, dựa trên bộ mô tả bảo mật hiện có của đối tượng. DN Đối tượng: <DN của đối tượng đã tạo> Lớp đối tượng: <đối tượng đã tạo ObjectClass> Người dùng: <người dùng đã cố gắng thêm LDAP> Địa chỉ IP máy khách: <IP của người yêu cầu> |
Câu hỏi thường gặp
Câu hỏi 1 Điều gì sẽ xảy ra nếu tôi có một hỗn hợp của bộ kiểm soát miền Active Directory được cập nhật và không được cập nhật?
A1 Các DCs không được cập nhật sẽ không ghi nhật ký các sự kiện liên quan đến lỗ hổng này.
Câu hỏi 2 Tôi cần phải làm gì để Read-Only Kiểm soát Miền (RODC)?
A2 Gì; Thao tác Thêm và Sửa đổi LDAP không thể nhắm mục tiêu RODCs.
Q3 Tôi có một sản phẩm hoặc quy trình của bên thứ ba không thành công sau khi bật chế độ Thực thi. Tôi có cần phải cấp quyền quản trị viên tên miền người dùng hoặc dịch vụ không?
A3 Thông thường, chúng tôi khuyên bạn không nên thêm một dịch vụ hoặc người dùng vào nhóm Người quản trị Miền làm giải pháp đầu tiên cho sự cố này. Kiểm tra các bản ghi sự kiện để xem những gì cụ thể là cần thiết và xem xét ủy quyền thích hợp giới hạn quyền cho người dùng trên một đơn vị tổ chức riêng biệt được chỉ định cho mục đích đó.
Q4 Tôi thấy các sự kiện kiểm tra cũng cho các máy chủ LDS. Tại sao là điều này xảy ra?
A4Tất cả những điều trên cũng áp dụng cho AD LDS, mặc dù rất bất thường khi có các đối tượng máy tính trong NGÀYDS. Các bước giảm nhẹ cũng nên được thực hiện để cho phép bảo vệ cho AD LDS khi chế độ Kiểm tra không phát hiện bất kỳ đặc quyền bất ngờ.
