KB5008380 – актуализации за удостоверяване (CVE-2021-42287)

Резюме

CVE-2021-42287 обръща внимание на уязвимост за заобикаляне на защитата, която засяга сертификата за атрибут на привилегия на Kerberos (PAC) и позволява на потенциалните хакери да се въплъщават в домейнови контролери. За да използва тази уязвимост, компрометиран акаунт на домейн може да доведе до създаване на билет за услуга в центъра за разпространение на ключове (KDC) с по-високо ниво на привилегии от това на компрометирания акаунт. Това става, като не позволява на KDC да определи за коя сметка е билетът за услуга с по-високи привилегии.

Подобреният процес на удостоверяване в CVE-2021-42287 добавя нова информация за първоначалния заявяващ към PAC на Kerberos Ticket-Granting Tickets (TGT). По-късно, когато се генерира билет за услугата Kerberos за акаунт, новият процес на удостоверяване ще провери дали акаунтът, който е поискал TGT, е същият акаунт, посочен в билета за услуга.

След инсталирането на актуализациите на Windows от 9 ноември 2021 г. или по-нова версия, pacs ще бъдат добавени към TGT на всички акаунти на домейни, дори и тези, които преди това са избрали да откажат PAC.

Предприемане на действие

За да защитите вашата среда и да избегнете прекъсвания, изпълнете следните стъпки:

Актуализирайте всички устройства, които хостват ролята на домейнов контролер на Active Directory, като инсталирате актуализацията на защитата от 9 ноември 2021 г. и актуализацията на извън лентата (OOB) от 14 ноември 2021 г. Намерете OOB номера в КБ за конкретната ос по-долу.

ОС	Номер в БЗ
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

След инсталирането на актуализацията на защитата от 9 ноември 2021 г. и OOB актуализацията от 14 ноември 2021 г. на всички домейнови контролери на Active Directory за най-малко 7 дни силно ви предлагаме да разрешите режима на изпълнение на всички домейнови контролери на Active Directory.
Започвайки с (актуализирано) 11 октомври 2022 г. Актуализация на фазата на изпълнение, режимът на прилагане ще бъде разрешен за всички домейнови контролери на Windows и ще бъде необходим.

Време на актуализациите на Windows – (Актуализация 31.1.23)

Тези Актуализации на Windows ще бъдат издадени на три фази:

Първоначално разполагане – въведение на актуализацията, както и ключът от системния регистър PacRequestorEnforcement
Второ разполагане – премахване на стойността на PacRequestorEnforcement на 0 (възможност за забраняване на ключа от системния регистър)
Фаза на прилагане – режимът на прилагане е разрешен. Тази фаза отхвърля ключа PacRequestorEnforcement и вече не го чете

9 ноември 2021 г.: Първоначална фаза на разполагане

Началната фаза на разполагане започва с актуализацията на Windows, издадена на 9 ноември 2021 г. Това издание:

Добавя защити срещу CVE-2021-42287
Добавя поддръжка за стойността на системния регистър PacRequestorEnforcement , която ви позволява да преминете към фазата на изпълнение по-рано

Смекчаването се състои в инсталирането на актуализации на Windows на всички устройства, които хостват ролята на домейнов контролер и домейнови контролери само за четене (RODCs).

12 юли 2022 г.: Втора фаза на разполагане

Втората фаза на разполагане започва с актуализацията на Windows, издадена на 12 юли 2022 г. Тази фаза премахва настройката pacRequestorEnforcement на 0. Задаването на PacRequestorEnforcement на 0 след инсталирането на тази актуализация ще има същия ефект като задаването на PacRequestorEnforcement на 1. Домейнови контролери (DCs) ще бъдат в режим на разполагане.

Забележка Тази фаза не е необходима , ако PacRequestorEnforcement никога не е бил зададен на 0 във вашата среда. Тази фаза помага да се гарантира, че клиентите, които задават PacRequestorEnforcement на 0, се преместят на настройка 1 преди фазата на прилагане.

Забележка Тази актуализация предполага, че всички домейнови контролери се актуализират с актуализацията на Windows от 9 ноември 2021 г. или по-нова.

11 октомври 2022 г.: Фаза на прилагане – (Актуализирано 31.1.23)

Изданието от 11 октомври 2022 г. ще включи всички домейнови контролери на Active Directory във фазата на прилагане. Фазата на прилагане отхвърля ключа PacRequestorEnforcement и вече не го чете. В резултат на това домейнови контролери на Windows, които са инсталирали актуализацията от 11 октомври 2022 г., вече няма да са съвместими с:

Домейнови контролери, които не са инсталирали актуализациите от 9 ноември 2021 г. или по-нови.
Домейнови контролери, които са инсталирали актуализацията от 9 ноември 2021 г. или по-нова, но все още не са инсталирали актуализацията от 12 юли 2022 г. и които имат pacRequestorEnforcement стойност на системния регистър 0.

Обаче домейнови контролери на Windows, които са инсталирали актуализацията от 11 октомври 2022 г., ще останат съвместими с:

Домейнови контролери на Windows, които са инсталирали актуализациите от 11 октомври 2022 г. или по-нови
Домейнови контролери на windows, които са инсталирали актуализации от 9^{ноември} 2021 г. или по-нови и имат стойност PacRequestorEnforcement или 1 или 2

Информация за ключ от системния регистър

След инсталиране на защити CVE-2021-42287 в актуализации на Windows, издадени между 9 ноември 2021 г. и 14 юни 2022 г., ще бъде наличен следният ключ от системния регистър:

Подключ от системния регистър	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Стойност	PacRequestorEnforcement
Тип данни	REG_DWORD
Данни	1: Добавете новия PAC за потребители, които са се удостоверили с помощта на домейнов контролер на Active Directory, който има инсталирани актуализации от 9 ноември 2021 г. или по-нови. При удостоверяване, ако потребителят има новия PAC, PAC се проверява. Ако потребителят няма новия PAC, не се предприемат по-нататъшни действия. Домейнови контролери на Active Directory в този режим са във фазата на разполагане. 2: Добавете новия PAC за потребители, които са се удостоверили с помощта на домейнов контролер на Active Directory, който има инсталирани актуализации от 9 ноември 2021 г. или по-нови. При удостоверяване, ако потребителят има новия PAC, PAC се проверява. Ако потребителят няма новия PAC, удостоверяването е отказано. Домейнови контролери на Active Directory в този режим са във фазата на прилагане. 0: Забранява ключа от системния регистър. Не се препоръчва. Домейнови контролери на Active Directory в този режим са във фазата Дезактивирано. Тази стойност няма да съществува след актуализациите от 12 юли 2022 г. или по-нови. Важно Настройката 0 не е съвместима с настройка 2. Може да възникнат периодично неуспешни грешки, ако и двете настройки се използват в гора. Ако се използва настройка 0, ви препоръчваме да преминете към настройка 0 (Забраняване) на настройка 1 (Разполагане) за най-малко една седмица, преди да преминете към настройка 2 (режим на прилагане).
По подразбиране	1 (когато ключът от системния регистър не е зададен)
Изисква ли се рестартиране?	Не

Събития за проверка

Актуализацията на Windows от 9 ноември 2021 г. също ще добави нови регистри на събитията.

PAC без атрибути

KDC се натъква на TGT без PAC атрибут буфер. Вероятно другият KDC в регистрационните файлове не съдържа актуализацията или е в дезактивиран режим.

Регистър на събитията	Система
Тип събитие	Предупреждение
Източник на събитие	Microsoft-Windows-Kerberos-Key-Distribution-Center
ИД на събитие	35
Текст на събитие	Центърът за разпространение на ключове (KDC) се натъкна на билет за предоставяне на билет (TGT) от друг KDC ("<KDC име>"), който не съдържаше поле PAC атрибути.

Билет без PAC

KDC се натъква на TGT или друг билет за доказателство без PAC. Това не позволява на KDC да извършва проверки за защита в билета.

Регистър на събитията	Система
Тип събитие	Предупреждение по време на фазата на разполагане Грешка по време на фазата на изпълнение
Източник на събитие	Microsoft-Windows-Kerberos-Key-Distribution-Center
ИД на събитие	36
Текст на събитие	Центърът за разпространение на ключове (KDC) се натъкна на билет, който не съдържаШЕ PAC, докато обработваше заявката за друг билет. Това предотвратява изпълнението на проверки за защита и може да отвори уязвимости на защитата. Клиент: <> на име на домейн\<> на потребителско име Билет за: <име на услугата>

Билет без заявяване

KDC се натъква на TGT или друг билет за доказателство без PAC заявения буфер. Вероятно KDC, който е конструирал PAC, не съдържа актуализацията или е в дезактивиран режим.

Забележка Вижте раздела Известни проблеми за важна информация относно събитие 37.

Регистър на събитията	Система
Тип събитие	Предупреждение по време на фазата на разполагане Грешка по време на фазата на изпълнение
Източник на събитие	Microsoft-Windows-Kerberos-Key-Distribution-Center
ИД на събитие	37
Текст на събитие	Центърът за разпространение на ключове (KDC) се натъкна на билет, който не съдържаше информация за акаунта, който е поискал билета, докато обработваше заявка за друг билет. Това предотвратява изпълнението на проверки за защита и може да отвори уязвимости на защитата. PAC на билет, създаден от: <KDC име> Клиент: <> име на домейн\<> на име на клиент Билет за: <име на услугата>

Несъответствие на искането

KDC се натъква на TGT или друг билет за доказателство и акаунтът, който е поискал TGT или билет за доказателство, не съвпада с акаунта, за който е създаден билетът за услуга.

Регистър на събитията	Система
Тип събитие	Грешка
Източник на събитие	Microsoft-Windows-Kerberos-Key-Distribution-Center
ИД на събитие	38
Текст на събитие	Центърът за разпространение на ключове (KDC) се натъкна на билет, който съдържаше несъгласувана информация за акаунта, който е поискал билета. Това може да означава, че акаунтът е преименуван след издаването на билета, който може да е част от опит за използване. PAC на билет, създаден от: <Kdc име> Клиент: <> на име на домейн\<> на потребителско име Билет за: <име на услугата> Искане за SID на акаунт от Active Directory: <SID> Искане на SID за акаунт от билет: <SID>

Известни проблеми

Симптом	Заобиколно решение
След инсталирането на актуализациите на Windows, издадени на 9 ноември 2021 г. или по-нова версия на домейнови контролери (DCs), някои клиенти може да виждат новия ИД на събитие за проверка 37, регистриран след определена настройка на парола или операции за промяна, като например: Актуализиране или поправяне на CNO или VCO на клъстер за преместване при отказ Нулиране на потребителска парола от конзолата на Потребители и компютри в Active Directory (dsa.msc) Създаване на нов потребител от конзолата на Потребители и компютри в Active Directory (dsa.msc) Промяна на паролата за устройства, присъединени към домейн, на други разработчици Ако не виждате ИД на събитие 37 след инсталиране на актуализации на Windows, издадени на 9 ноември 2021 г. или по-нова версия за една седмица, а PacRequestorEnforcement е "1" или "2", вашата среда не е засегната. Ако зададете PacRequestorEnforcement = 1, ИД на събитие 37 се регистрира като предупреждение, но исканията за смяна на паролата ще бъдат успешни и няма да засегнат потребителите. Ако зададете PacRequestorEnforcement = 2, исканията за промяна на парола ще бъдат неуспешни и ще доведат до неуспешни операции, изброени по-горе.	Обърнато е внимание на този проблем в следните актуализации: Windows 11 - KB5011563 Windows Server 2022 – KB5011558 Windows 10, версия 20H2, Windows 10 версия 21H1 и Windows 10, версия 21H2 – KB5011543 Windows 10 версия 1809 и Windows Server 2019 – KB5011551 Windows 10 версия 1607 и Windows Server 2016 – KB5012596 Windows Server 2012 R2 – KB5012670 Windows Server 2012 – KB5012666 Windows Server 2008 R2 – KB5012649 Windows Server 2008 SP2 – KB5012632

Симптом

Заобиколно решение

След инсталирането на актуализациите на Windows, издадени на 9 ноември 2021 г. или по-нова версия на домейнови контролери (DCs), някои клиенти може да виждат новия ИД на събитие за проверка 37, регистриран след определена настройка на парола или операции за промяна, като например:

Актуализиране или поправяне на CNO или VCO на клъстер за преместване при отказ
Нулиране на потребителска парола от конзолата на Потребители и компютри в Active Directory (dsa.msc)
Създаване на нов потребител от конзолата на Потребители и компютри в Active Directory (dsa.msc)
Промяна на паролата за устройства, присъединени към домейн, на други разработчици

Ако не виждате ИД на събитие 37 след инсталиране на актуализации на Windows, издадени на 9 ноември 2021 г. или по-нова версия за една седмица, а PacRequestorEnforcement е "1" или "2", вашата среда не е засегната.

Ако зададете PacRequestorEnforcement = 1, ИД на събитие 37 се регистрира като предупреждение, но исканията за смяна на паролата ще бъдат успешни и няма да засегнат потребителите.

Ако зададете PacRequestorEnforcement = 2, исканията за промяна на парола ще бъдат неуспешни и ще доведат до неуспешни операции, изброени по-горе.

Обърнато е внимание на този проблем в следните актуализации:

Windows 11 - KB5011563
Windows Server 2022 – KB5011558
Windows 10, версия 20H2, Windows 10 версия 21H1 и Windows 10, версия 21H2 – KB5011543
Windows 10 версия 1809 и Windows Server 2019 – KB5011551
Windows 10 версия 1607 и Windows Server 2016 – KB5012596
Windows Server 2012 R2 – KB5012670
Windows Server 2012 – KB5012666
Windows Server 2008 R2 – KB5012649
Windows Server 2008 SP2 – KB5012632

Често задавани въпроси

В1 Какво се случва, ако имам смесица от домейнови контролери на Active Directory, които се актуализират и не се актуализират?

A1. Смесица от домейнови контролери, които се актуализират и не се актуализират, но имат стойността по подразбиране pacRequestorEnforcement на ключа от системния регистър 1 са съвместими помежду си. Въпреки това Microsoft силно препоръчва да няма домейнови контролери, които се актуализират и не се актуализират в среда.

Q2 Какво се случва, ако имам смесица от домейнови контролери на Active Directory, които имат различни стойности на PacRequestorEnforcement?

A2. Смесица от домейнови контролери, които имат стойности на PacRequestorEnforcement от 0 и 1, са съвместими помежду си. Смесица от домейнови контролери, които имат стойности на PacRequestorEnforcement от 1 и 2, са съвместими помежду си. Смесица от домейнови контролери, които имат стойности на PacRequestorEnforcement от 0 и 2, не са съвместими помежду си и може да предизвикат неуспешни грешки. Вижте раздела с информация за ключа от системния регистър за повече подробности.