KB5008380 – Authentifizierungsupdates (CVE-2021-42287)

Zusammenfassung

CVE-2021-42287 behebt eine Sicherheitsanfälligkeit bezüglich Umgehung von Sicherheitsanforderungen, die das Kerberos Privilege Attribute Certificate (PAC) betrifft und potenziellen Angreifern ermöglicht, sich als Domänencontroller auszugeben. Um diese Sicherheitsanfälligkeit auszunutzen, kann ein kompromittiertes Domänenkonto dazu führen, dass das Schlüsselverteilungscenter (KDC) ein Serviceticket mit einer höheren Berechtigungsstufe als das des kompromittierten Kontos erstellt. Dies wird erreicht, indem verhindert wird, dass das KDC erkennt, für welches Konto das Dienstticket für höhere Berechtigungen bestimmt ist.

Der verbesserte Authentifizierungsprozess in CVE-2021-42287 fügt den PACs von Kerberos Ticket-Granting Tickets (TGT) neue Informationen über den ursprünglichen Anforderer hinzu. Wenn später ein Kerberos-Serviceticket für ein Konto generiert wird, überprüft der neue Authentifizierungsprozess, ob das Konto, das die TGT angefordert hat, das gleiche Konto ist, auf das im Serviceticket verwiesen wird.

Nach der Installation von Windows-Updates vom 9. November 2021 oder höher werden PACs zur TGT aller Domänenkonten hinzugefügt, auch derjenigen, die zuvor PACs abgelehnt haben.

Handeln Sie

Gehen Sie wie folgt vor, um Ihre Umgebung zu schützen und Ausfälle zu vermeiden:

Aktualisieren Sie alle Geräte, die die Active Directory-Domänencontroller-Rolle hosten, indem Sie das Sicherheitsupdate vom 9. November 2021 und das Out-of-Band (OOB)-Update vom 14. November 2021 installieren. Nachfolgend finden Sie die OOB-KB-Nummer für Ihr jeweiliges Betriebssystem.

BS	KB-Nummer
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Nachdem Sie das Sicherheitsupdate vom 9. November 2021 und das OOB-Update vom 14. November 2021 mindestens 7 Tage lang auf allen Active Directory-Domänencontrollern installiert haben, empfehlen wir Ihnen dringend, den Enforcement-Modus auf allen Active Directory-Domänencontrollern zu aktivieren.
Beginnend mit dem Update vom 11. Oktober 2022 zur Erzwingungsphase wird der Erzwingungsmodus auf allen Windows-Domänencontrollern aktiviert und ist erforderlich.

Zeitplan für die Windows-Updates

Diese Windows-Updates werden in drei Phasen veröffentlicht:

Erste Bereitstellung – Einführung des Updates sowie des Registrierungsschlüssels PacRequestorEnforcement
Zweite Bereitstellung – Entfernen des PacRequestorEnforcement-Werts von 0 (Möglichkeit, den Registrierungsschlüssel zu deaktivieren)
Erzwingungsphase – Der Erzwingungsmodus ist aktiviert. Entfernen des Registrierungsschlüssels PacRequestorEnforcement

9. November 2021: Erste Bereitstellungsphase

Die erste Bereitstellungsphase beginnt mit den am 9. November 2021 veröffentlichten Windows-Updates. Diese Version:

Zusätzlicher Schutz vor CVE-2021-42287
Fügt Unterstützung für den Registrierungswert PacRequestorEnforcement hinzu, mit dem Sie frühzeitig in die Durchsetzungsphase wechseln können

Die Risikominderung besteht in der Installation von Windows-Updates auf allen Geräten, auf denen die Domänencontrollerrolle und schreibgeschützte Domänencontroller (Read-Only Domain Controllers, RODC) gehostet werden.

(Aktualisiert) 12. Juli 2022: Zweite Bereitstellungsphase

Die zweite Bereitstellungsphase beginnt mit dem Windows-Update, das am 12. Juli 2022 veröffentlicht wird. In dieser Phase wird die Einstellung von PacRequestorEnforcement auf 0 entfernt. Wenn Sie PacRequestorEnforcement nach der Installation dieses Updates auf 0 setzen, hat dies die gleiche Wirkung wie PacRequestorEnforcement auf 1 zu setzen. Die Domänencontroller (DCs) befinden sich im Bereitstellungsmodus.

Hinweis Diese Phase ist nicht erforderlich, wenn PacRequestorEnforcement in Ihrer Umgebung nie auf 0 gesetzt worden ist. In dieser Phase wird sichergestellt, dass Kunden, die PacRequestorEnforcement auf 0gesetzt haben, vor der Erzwingungsphase auf Einstellung 1 wechseln.

Hinweis Bei diesem Update wird davon ausgegangen, dass alle Domänencontroller mit dem Windows-Update vom 9. November 2021 oder höher aktualisiert werden.

(Aktualisiert) 11. Oktober 2022: Erzwingungsphase

Mit der Veröffentlichung vom 11. Oktober 2022 werden alle Active Directory-Domänencontroller in die Erzwingungsphase überführt. In der Erzwingungsphase wird auch der Registrierungsschlüssel PacRequestorEnforcement vollständig entfernt. Infolgedessen sind Windows-Domänencontroller, die das Update vom 11. Oktober 2022 installiert haben, nicht mehr kompatibel mit:

Domänencontrollern, die die Updates vom 9. November 2021 oder höher nicht installiert haben.
Domänencontrollern, die die Updates vom 9. November 2021 oder später installiert haben, aber das Update vom 12. Juli 2022 noch nicht installiert haben UNDdie einen PacRequestorEnforcement-Registrierungswert von 0 haben.

Windows-Domänencontroller, die das Update vom 11. Oktober 2022 installiert haben, bleiben jedoch kompatibel mit:

Windows-Domänencontrollern, die Updates vom 11. Oktober 2022 oder höher installiert haben
Windows-Domänencontrollern, die die Updates vom 9. November 2021 oder später installiert haben und einen PacRequestorEnforcement-Wert haben von entweder 1 oder 2 haben

Registrierungsschlüssel-Informationen

Nach der Installation von CVE-2021-42287-Schutz in Windows-Updates, die zwischen dem 9. November 2021 und dem 14. Juni 2022 veröffentlicht wurden, steht der folgende Registrierungsschlüssel zur Verfügung:

Registrierungsunterschlüssel	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Wert	PacRequestorEnforcement
Datentyp	REG_DWORD
Daten	1: Fügen Sie das neue PAC zu Benutzern hinzu, die sich mit einem Active Directory-Domänencontroller authentifiziert haben, der die Updates vom 9. November 2021 oder später installiert hat. Wenn der Benutzer bei der Authentifizierung über das neue PAC verfügt, wird das PAC validiert. Wenn der Benutzer nicht über das neue PAC verfügt, werden keine weiteren Maßnahmen ergriffen. Active Directory-Domänencontroller in diesem Modus befinden sich in der Bereitstellungsphase. 2: Fügen Sie das neue PAC zu Benutzern hinzu, die sich mit einem Active Directory-Domänencontroller authentifiziert haben, der die Updates vom 9. November 2021 oder später installiert hat. Wenn der Benutzer bei der Authentifizierung über das neue PAC verfügt, wird das PAC validiert. Wenn der Benutzer nicht über das neue PAC verfügt, wird die Authentifizierung verweigert. Active Directory-Domänencontroller in diesem Modus befinden sich in der Erzwingungsphase. 0: Deaktiviert den Registrierungsschlüssel. Nicht empfohlen. Active Directory-Domänencontroller in diesem Modus befinden sich in der Deaktivierungsphase. Dieser Wert wird nach den Updates vom 12. Juli 2022 oder später nicht mehr vorhanden sein. Wichtig Einstellung 0 ist nicht kompatibel mit Einstellung 2. Es kann zu zeitweiligen Fehlern kommen, wenn beide Einstellungen in einer Gesamtstruktur verwendet werden. Wenn die Einstellung 0 verwendet wird, empfehlen wir, dass Sie die Einstellung 0 (Deaktivieren) mindestens eine Woche lang auf die Einstellung 1 (Bereitstellung) umstellen, bevor Sie zur Einstellung 2 (Erzwingungsmodus) wechseln.
Standard	1 (wenn der Registrierungsschlüssel nicht festgelegt ist)
Ist ein Neustart erforderlich?	Nein

Überwachungs-Ereignisse

Mit dem Windows-Update vom 9. November 2021 werden auch neue Ereignisprotokolle hinzugefügt.

PAC ohne Attribute

Das KDC erhält ein TGT ohne PAC-Attribut-Puffer. Es ist wahrscheinlich, dass das andere KDC in den Protokollen das Update nicht enthält oder sich im Deaktivierungsmodus befindet.

Ereignisprotokoll	System
Ereignistyp	Warnung
Ereignisquelle	Kdcsvc
Ereigniskennung	35
Ereignistext	Das Schlüsselverteilungscenter (KDC) hat ein Ticket-Gewährungs-Ticket (TGT) von einem anderen KDC („<KDC Name>“) erhalten, das kein PAC-Attributfeld enthielt.

Ticket ohne PAC

Das KDC erhält ein TGT oder ein anderes Evidence Ticket ohne PAC. Dadurch wird verhindert, dass das KDC Sicherheitsprüfungen für das Ticket durchführt.

Ereignisprotokoll	System
Ereignistyp	Warnung während der Bereitstellungsphase Fehler während der Erzwingungsphase
Ereignisquelle	Kdcsvc
Ereigniskennung	36
Ereignistext	Das Schlüsselverteilungscenter (KDC) hat bei der Bearbeitung einer Anfrage für ein anderes Ticket ein Ticket erhalten, das kein PAC enthielt. Dies verhinderte die Ausführung von Sicherheitsprüfungen und es könnte Sicherheitsrisiken entstehen. Client:<Domain Name>\<User Name> Ticket für: <Service Name>

Ticket ohne Anforderer

Das KDC erhält ein TGT oder ein anderes Evidence Ticket ohne PAC-Anforderer-Puffer. Es ist wahrscheinlich, dass das KDC, das das PAC erstellt hat, das Update nicht enthält oder sich im Deaktivierungsmodus befindet.

Hinweis Weitere wichtige Informationen zu Event 37 finden Sie im Abschnitt Bekannte Probleme.

Ereignisprotokoll	System
Ereignistyp	Warnung während der Bereitstellungsphase Fehler während der Erzwingungsphase
Ereignisquelle	Kdcsvc
Ereigniskennung	37
Ereignistext	Das Schlüsselverteilungscenter (KDC) hat bei der Bearbeitung einer Anfrage für ein anderes Ticket ein Ticket erhalten, das keine Informationen über das Konto enthielt, das das Ticket angefordert hat. Dies verhinderte die Ausführung von Sicherheitsprüfungen und es könnte Sicherheitsrisiken entstehen. Ticket-PAC erstellt von: <KDC Name> Client: <Domain Name>\<Client Name> Ticket für: <Service Name>

Anforderer-Abweichung

Das KDC erhält ein TGT oder ein anderes Evidence Ticket, und das Konto, das das TGT oder das Evidence Ticket angefordert hat, stimmt nicht mit dem Konto überein, für das das Dienstticket erstellt wurde.

Ereignisprotokoll	System
Ereignistyp	Fehler
Ereignisquelle	Kdcsvc
Ereigniskennung	38
Ereignistext	Das Schlüsselverteilungscenter (KDC) hat ein Ticket erhalten, das inkonsistente Informationen über das Konto enthielt, das das Ticket angefordert hat. Dies könnte bedeuten, dass das Konto seit der Ausstellung des Tickets umbenannt wurde, was möglicherweise Teil eines versuchten Exploits war. Ticket-PAC erstellt von: <Kdc Name> Client:<Domain Name>\<User Name> Ticket für: <Service Name> Anfordern einer Konto-SID von Active Directory: <SID> Anfordern der Konto-SID vom Ticket: <SID>

Bekannte Probleme

Symptom	Problemumgehung
Nach der Installation von Windows-Updates, die am 9. November 2021 oder später auf Domänencontrollern (DCs) veröffentlicht wurden, sehen einige Kunden möglicherweise die neue Audit-Ereignis-ID 37, die nach bestimmten Passworteinstellungen oder Änderungsvorgängen protokolliert wurde, wie: CNO oder VCO des Failoverclusters aktualisieren oder reparieren Zurücksetzen des Passworts eines Benutzers über die Active Directory-Benutzer- und -Computerkonsole (dsa.msc) Erstellen Sie einen neuen Benutzer über die Active Directory-Benutzer- und -Computerkonsole (dsa.msc) Kennwort für Drittanbieter-Domain-verbundene Geräte ändern Wenn Sie die Ereignis-ID 37 nach der Installation von Windows-Updates, die am 9. November 2021 oder später für eine Woche veröffentlicht wurden, nicht sehen und PacRequestorEnforcement entweder 1 oder 2 ist, ist Ihre Umgebung nicht betroffen. Wenn Sie PacRequestorEnforcement = 1 einstellen, wird die Ereignis-ID 37 als Warnung protokolliert, aber Passwortänderungsanfragen werden erfolgreich sein und keine Auswirkungen auf Benutzer haben. Wenn Sie PacRequestorEnforcement = 2 einstellen, schlagen Kennwortänderungsanfragen fehl und führen dazu, dass die oben aufgeführten Vorgänge ebenfalls fehlschlagen.	Dieses Problem wurde in den folgenden Updates behoben: Windows 11 – KB5011563 Windows Server 2022 – KB5011558 Windows 10, Version 20H2, Windows 10 Version 21H1 und Windows 10, Version 21H2 – KB5011543 Windows 10, Version 1809 und Windows Server 2019 – KB5011551 Windows 10, Version 1607 und Windows Server 2016 – KB5012596 Windows Server 2012 R2 – KB5012670 Windows Server 2012 – KB5012666 Windows Server 2008 R2 – KB5012649 Windows Server 2008 SP2 – KB5012632

Symptom

Problemumgehung

Nach der Installation von Windows-Updates, die am 9. November 2021 oder später auf Domänencontrollern (DCs) veröffentlicht wurden, sehen einige Kunden möglicherweise die neue Audit-Ereignis-ID 37, die nach bestimmten Passworteinstellungen oder Änderungsvorgängen protokolliert wurde, wie:

CNO oder VCO des Failoverclusters aktualisieren oder reparieren
Zurücksetzen des Passworts eines Benutzers über die Active Directory-Benutzer- und -Computerkonsole (dsa.msc)
Erstellen Sie einen neuen Benutzer über die Active Directory-Benutzer- und -Computerkonsole (dsa.msc)
Kennwort für Drittanbieter-Domain-verbundene Geräte ändern

Wenn Sie die Ereignis-ID 37 nach der Installation von Windows-Updates, die am 9. November 2021 oder später für eine Woche veröffentlicht wurden, nicht sehen und PacRequestorEnforcement entweder 1 oder 2 ist, ist Ihre Umgebung nicht betroffen.

Wenn Sie PacRequestorEnforcement = 1 einstellen, wird die Ereignis-ID 37 als Warnung protokolliert, aber Passwortänderungsanfragen werden erfolgreich sein und keine Auswirkungen auf Benutzer haben.

Wenn Sie PacRequestorEnforcement = 2 einstellen, schlagen Kennwortänderungsanfragen fehl und führen dazu, dass die oben aufgeführten Vorgänge ebenfalls fehlschlagen.

Dieses Problem wurde in den folgenden Updates behoben:

Windows 11 – KB5011563
Windows Server 2022 – KB5011558
Windows 10, Version 20H2, Windows 10 Version 21H1 und Windows 10, Version 21H2 – KB5011543
Windows 10, Version 1809 und Windows Server 2019 – KB5011551
Windows 10, Version 1607 und Windows Server 2016 – KB5012596
Windows Server 2012 R2 – KB5012670
Windows Server 2012 – KB5012666
Windows Server 2008 R2 – KB5012649
Windows Server 2008 SP2 – KB5012632

Häufig gestellte Fragen

F1 Was passiert, wenn ich eine Mischung aus Active Directory-Domänencontrollern habe, die aktualisiert und nicht aktualisiert sind?

A1. Eine Mischung aus Domänencontrollern, die aktualisiert und nicht aktualisiert werden, aber den Standardwert für PacRequestorEnforcement-Registrierungsschlüssel von 1 haben, ist miteinander kompatibel. Microsoft rät jedoch dringend davon ab, aktualisierte und nicht aktualisierte Domänencontroller in einer Umgebung zu haben.

F2 Was passiert, wenn ich eine Mischung aus Active Directory-Domänencontrollern habe, die verschiedene PacRequestorEnforcement-Werte haben?

A2. Eine Mischung aus Domänencontrollern, die PacRequestorEnforcement-Werte von 0 und 1 haben, ist miteinander kompatibel. Eine Mischung aus Domänencontrollern, die PacRequestorEnforcement-Werte von 1 und 2 haben, ist miteinander kompatibel. Eine Mischung aus Domänencontrollern, die PacRequestorEnforcement-Werte von 0 und 2 haben, ist nicht miteinander kompatibel und kann zu zeitweiligen Fehlern führen. Weitere Informationen finden Sie im Abschnitt „Informationen zum Registrierungsschlüssel“.