KB5004442 — إدارة التغييرات لتجاوز ميزة أمان Windows DCOM Server (CVE-2021-26414)

محدّث 20 مارس 2023 - قسم التوفر

الملخص

البروتوكول البعيد لنموذج عنصر المكونات الموزعة (DCOM) هو بروتوكول لعرض عناصر التطبيق باستخدام استدعاءات الإجراء عن بعد (RPCs). يتم استخدام DCOM للاتصال بين مكونات البرامج للأجهزة المتصلة بالشبكة. كانت التغييرات المتصلبة في DCOM مطلوبة ل CVE-2021-26414. لذلك، نوصي بالتحقق مما إذا كانت تطبيقات العميل أو الخادم في بيئتك التي تستخدم DCOM أو RPC تعمل كما هو متوقع مع تمكين التغييرات المتصلبة.

‏ملاحظة نوصي بشدة بتثبيت آخر تحديث أمان متوفر. وهي توفر حماية متقدمة من أحدث التهديدات الأمنية. كما أنها توفر القدرات التي أضفناها لدعم الترحيل. لمزيد من المعلومات والسياق حول كيفية تقوية DCOM، راجع تقوية مصادقة DCOM: ما تحتاج إلى معرفته.

تم إصدار المرحلة الأولى من تحديثات DCOM في 8 يونيو 2021. في هذا التحديث، تم تعطيل تصلب DCOM بشكل افتراضي. يمكنك تمكينها عن طريق تعديل السجل كما هو موضح في قسم "إعداد التسجيل لتمكين تغييرات تقوية أو تعطيلها" أدناه. تم إصدار المرحلة الثانية من تحديثات DCOM في 14 يونيو 2022. غير ذلك التصلب إلى ممكن بشكل افتراضي ولكنه احتفظ بالقدرة على تعطيل التغييرات باستخدام إعدادات مفتاح التسجيل. سيتم إصدار المرحلة الأخيرة من تحديثات DCOM في مارس 2023. سيحافظ على تمكين تصلب DCOM وإزالة القدرة على تعطيله.

اليوميات

تحديث الإصدار	تغيير السلوك
8 يونيو 2021	إصدار المرحلة 1 - تعطيل تصلب التغييرات بشكل افتراضي ولكن مع القدرة على تمكينها باستخدام مفتاح التسجيل.
14 يونيو 2022	إصدار المرحلة 2 - تمكين التغييرات بشكل افتراضي ولكن مع القدرة على تعطيلها باستخدام مفتاح التسجيل.
14 مارس 2023	إصدار المرحلة 3 - تمكين التغييرات بشكل افتراضي دون القدرة على تعطيلها. في هذه المرحلة، يجب عليك حل أي مشكلات توافق مع التغييرات والتطبيقات المتصلبة في بيئتك.

اختبار توافق تقوية DCOM

أحداث خطأ DCOM جديدة

لمساعدتك في تحديد التطبيقات التي قد تواجه مشكلات في التوافق بعد تمكين تغييرات تصلب أمان DCOM، أضفنا أحداث خطأ DCOM جديدة في سجل النظام. راجع الجداول أدناه. سيقوم النظام بتسجيل هذه الأحداث إذا اكتشف أن تطبيق عميل DCOM يحاول تنشيط خادم DCOM باستخدام مستوى مصادقة أقل من RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. يمكنك التتبع إلى جهاز العميل من سجل الأحداث من جانب الخادم واستخدام سجلات الأحداث من جانب العميل للعثور على التطبيق.

أحداث الخادم - الإشارة إلى أن الخادم يتلقى طلبات ذات مستوى أدنى

معرف الحدث	رسالة
10036	"لا يسمح نهج مستوى المصادقة من جانب الخادم للمستخدم ٪1\٪2 SID (٪3) من العنوان ٪4 بتنشيط خادم DCOM. يرجى رفع مستوى مصادقة التنشيط على الأقل إلى RPC_C_AUTHN_LEVEL_PKT_INTEGRITY في تطبيق العميل." (٪1 – المجال، ٪2 – اسم المستخدم، ٪3 – معرف أمان المستخدم، ٪4 – عنوان IP للعميل)

معرف الحدث

رسالة

10036

"لا يسمح نهج مستوى المصادقة من جانب الخادم للمستخدم ٪1\٪2 SID (٪3) من العنوان ٪4 بتنشيط خادم DCOM. يرجى رفع مستوى مصادقة التنشيط على الأقل إلى RPC_C_AUTHN_LEVEL_PKT_INTEGRITY في تطبيق العميل."

(٪1 – المجال، ٪2 – اسم المستخدم، ٪3 – معرف أمان المستخدم، ٪4 – عنوان IP للعميل)

أحداث العميل – الإشارة إلى التطبيق الذي يرسل طلبات ذات مستوى أدنى

معرف الحدث	رسالة
10037	"يطلب التطبيق ٪1 مع PID ٪2 تنشيط CLSID ٪3 على الكمبيوتر ٪4 مع تعيين مستوى المصادقة بشكل صريح عند ٪5. أدنى مستوى مصادقة التنشيط المطلوب من قبل DCOM هو 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). لرفع مستوى مصادقة التنشيط، يرجى الاتصال بمورد التطبيق."
10038	"يطلب التطبيق ٪1 مع PID ٪2 تنشيط CLSID ٪3 على الكمبيوتر ٪4 مع مستوى مصادقة التنشيط الافتراضي عند ٪5. أدنى مستوى مصادقة التنشيط المطلوب من قبل DCOM هو 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). لرفع مستوى مصادقة التنشيط، يرجى الاتصال بمورد التطبيق." (٪1 – مسار التطبيق، ٪2 – معرف التعريف الشخصي للتطبيق، ٪3 – CLSID لفئة COM التي يطلب التطبيق تنشيطها، ٪4 – اسم الكمبيوتر، ٪5 – قيمة مستوى المصادقة)

معرف الحدث

رسالة

10037

"يطلب التطبيق ٪1 مع PID ٪2 تنشيط CLSID ٪3 على الكمبيوتر ٪4 مع تعيين مستوى المصادقة بشكل صريح عند ٪5. أدنى مستوى مصادقة التنشيط المطلوب من قبل DCOM هو 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). لرفع مستوى مصادقة التنشيط، يرجى الاتصال بمورد التطبيق."

10038

"يطلب التطبيق ٪1 مع PID ٪2 تنشيط CLSID ٪3 على الكمبيوتر ٪4 مع مستوى مصادقة التنشيط الافتراضي عند ٪5. أدنى مستوى مصادقة التنشيط المطلوب من قبل DCOM هو 5 (RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). لرفع مستوى مصادقة التنشيط، يرجى الاتصال بمورد التطبيق."

(٪1 – مسار التطبيق، ٪2 – معرف التعريف الشخصي للتطبيق، ٪3 – CLSID لفئة COM التي يطلب التطبيق تنشيطها، ٪4 – اسم الكمبيوتر، ٪5 – قيمة مستوى المصادقة)

التوفر

لا تتوفر أحداث الخطأ هذه إلا لمجموعة فرعية من إصدارات Windows؛ انظر الجدول أدناه.

إصدار Windows	متوفر في هذه التواريخ أو بعدها
Windows Server 2022	27 سبتمبر 2021 KB5005619
Windows 10، الإصدار 2004، Windows 10، الإصدار 20H2، Windows 10، الإصدار 21H1	1 سبتمبر 2021 KB5005101
الإصدار 1909 من Windows 10	26 أغسطس 2021 KB5005103
Windows Server 2019، Windows 10، الإصدار 1809	26 أغسطس 2021 KB5005102
Windows Server 2016، Windows 10، الإصدار 1607	14 سبتمبر 2021 KB5005573
Windows Server 2012 R2 و Windows 8.1	12 أكتوبر 2021 KB5006714
Windows 11، الإصدار 22H2	30 سبتمبر 2022 KB5017389

تصحيح رفع الطلب التلقائي من جانب العميل

مستوى المصادقة لجميع طلبات التنشيط غير المجهولة

للمساعدة في تقليل مشكلات توافق التطبيقات، قمنا تلقائيا برفع مستوى المصادقة لجميع طلبات التنشيط غير المجهولة من عملاء DCOM المستندين إلى Windows إلى RPC_C_AUTHN_LEVEL_PKT_INTEGRITY كحد أدنى. مع هذا التغيير، سيتم قبول معظم طلبات عميل DCOM المستندة إلى Windows تلقائيا مع تمكين تغييرات تقوية DCOM على جانب الخادم دون أي تعديل آخر على عميل DCOM. بالإضافة إلى ذلك، سيعمل معظم عملاء Windows DCOM تلقائيا مع تغييرات تقوية DCOM على جانب الخادم دون أي تعديل آخر على عميل DCOM.

‏ملاحظة سيستمر تضمين هذا التصحيح في التحديثات التراكمية.

المخطط الزمني لتحديث التصحيح

منذ الإصدار الأولي في نوفمبر 2022، كان تصحيح الترقية التلقائية يحتوي على بعض التحديثات.

تحديث نوفمبر 2022
- رفع هذا التحديث تلقائيا مستوى مصادقة التنشيط إلى تكامل الحزمة. تم تعطيل هذا التغيير بشكل افتراضي على Windows Server 2016 وWindows server 2019.
تحديث ديسمبر 2022
- تم تمكين تغيير نوفمبر بشكل افتراضي ل Windows Server 2016 وWindows Server 2019.
- تناول هذا التحديث أيضا مشكلة أثرت على التنشيط المجهول على Windows Server 2016 وWindows Server 2019.

تحديث يناير 2023
- تناول هذا التحديث مشكلة أثرت على التنشيط المجهول على الأنظمة الأساسية من Windows Server 2008 إلى Windows 10 (إصدار أولي تم إصداره في يوليو 2015).

إذا قمت بتثبيت تحديثات الأمان التراكمية اعتبارا من يناير 2023 على العملاء والخوادم، فسيتم تمكين أحدث تصحيح رفع تلقائي بالكامل.

إعداد التسجيل لتمكين تغييرات التصلب أو تعطيلها

أثناء مراحل المخطط الزمني التي يمكنك فيها تمكين أو تعطيل تغييرات التصلب ل CVE-2021-26414، يمكنك استخدام مفتاح التسجيل التالي:

المسار: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
اسم القيمة: "RequireIntegrityActivationAuthenticationLevel"
النوع: dword
بيانات القيمة: افتراضي= يعني 0x00000000 معطلا. يعني 0x00000001 تمكين. إذا لم يتم تعريف هذه القيمة، فسيتم تمكينها افتراضيا.

ملاحظه يجب إدخال بيانات القيمة بتنسيق سداسي عشري.

هام يجب إعادة تشغيل جهازك بعد تعيين مفتاح التسجيل هذا حتى يصبح ساري المفعول.

‏ملاحظة سيؤدي تمكين مفتاح التسجيل أعلاه إلى جعل خوادم DCOM تفرض Authentication-Level من RPC_C_AUTHN_LEVEL_PKT_INTEGRITY أو أعلى للتنشيط. لا يؤثر هذا على التنشيط المجهول (التنشيط باستخدام مستوى المصادقة RPC_C_AUTHN_LEVEL_NONE). إذا كان خادم DCOM يسمح بالتنشيط المجهول، فسيظل مسموحا به حتى مع تمكين تغييرات تقوية DCOM.

‏ملاحظة قيمة التسجيل هذه غير موجودة بشكل افتراضي؛ يجب عليك إنشائه. سيقوم Windows بقراءته إذا كان موجودا ولن يقوم بالكتابة فوقه.

‏ملاحظة لن يؤدي تثبيت التحديثات اللاحقة إلى تغيير إدخالات السجل والإعدادات الموجودة أو إزالتها.