KB5008380—Ενημερώσεις ελέγχου ταυτότητας (CVE-2021-42287)

Σύνοψη

Το CVE-2021-42287 επιλύει μια ευπάθεια παράκαμψης ασφαλείας που επηρεάζει το Πιστοποιητικό χαρακτηριστικού προνομίων Kerberos (PAC) και επιτρέπει σε πιθανούς εισβολείς να μιμούνται ελεγκτές τομέα. Για να εκμεταλλευτεί αυτή την ευπάθεια, ένας παραβιασμένος λογαριασμός τομέα μπορεί να έχει ως αποτέλεσμα το Κέντρο διανομής κλειδιών (KDC) να δημιουργήσει ένα δελτίο υπηρεσίας με υψηλότερο επίπεδο δικαιωμάτων από αυτό του παραβιασμένου λογαριασμού. Αυτό επιτυγχάνεται αποτρέποντας το KDC από το να προσδιορίσει για ποιο λογαριασμό προορίζεται το υψηλότερο εισιτήριο υπηρεσίας δικαιωμάτων.

Η βελτιωμένη διαδικασία ελέγχου ταυτότητας στο CVE-2021-42287 προσθέτει νέες πληροφορίες σχετικά με τον αρχικό αιτούντα στα PACs του Kerberos Ticket-Granting Tickets (TGT). Αργότερα, όταν δημιουργηθεί ένα δελτίο υπηρεσίας Kerberos για ένα λογαριασμό, η νέα διαδικασία ελέγχου ταυτότητας θα επαληθεύσει ότι ο λογαριασμός που ζήτησε το TGT είναι ο ίδιος λογαριασμός που αναφέρεται στο δελτίο υπηρεσίας.

Μετά την εγκατάσταση των ενημερώσεων των Windows με ημερομηνία 9 Νοεμβρίου 2021 ή νεότερη έκδοση, τα PACs θα προστεθούν στην TGT όλων των λογαριασμών τομέα, ακόμη και εκείνων που προηγουμένως επέλεξαν να απορρίψουν τα PACs.

Ανάληψη δράσης

Για να προστατεύσετε το περιβάλλον σας και να αποφύγετε διακοπές λειτουργίας, ολοκληρώστε τα ακόλουθα βήματα:

Ενημερώστε όλες τις συσκευές που φιλοξενούν το ρόλο του ελεγκτή τομέα Active Directory, εγκαθιστώντας την ενημέρωση ασφαλείας της 9ης Νοεμβρίου 2021 και την ενημέρωση εκτός ζώνης (OOB) της 14ης Νοεμβρίου 2021. Βρείτε τον αριθμό OOB KB για το συγκεκριμένο λειτουργικό σας σύστημα παρακάτω.

Λειτουργικό σύστημα	Αριθμός KB
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Μετά την εγκατάσταση της ενημέρωσης ασφαλείας της 9ης Νοεμβρίου 2021 και της ενημέρωσης OOB της 14ης Νοεμβρίου 2021 σε όλους τους ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory για τουλάχιστον 7 ημέρες, σας συνιστούμε να ενεργοποιήσετε τη λειτουργία επιβολής σε όλους τους ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory.
Από την (ενημερωμένη) ενημέρωση της φάσης επιβολής της 11ης Οκτωβρίου 2022, η λειτουργία επιβολής θα ενεργοποιείται σε όλους τους ελεγκτές τομέα των Windows και θα απαιτείται.

Χρονισμός ενημερώσεων των Windows - (Ενημέρωση 31/1/23)

Αυτά τα Windows Ενημερώσεις θα κυκλοφορήσουν σε τρεις φάσεις:

Αρχική ανάπτυξη – Εισαγωγή της ενημέρωσης, καθώς και του κλειδιού μητρώου PacRequestorEnforcement
Δεύτερη ανάπτυξη – Κατάργηση της τιμής 0 του PacRequestorEnforcement (δυνατότητα απενεργοποίησης του κλειδιού μητρώου)
Φάση επιβολής – Η λειτουργία επιβολής είναι ενεργοποιημένη. Αυτή η φάση αποσύρει το πλήκτρο PacRequestorEnforcement και δεν το διαβάζει πλέον

9 Νοεμβρίου 2021: Φάση αρχικής ανάπτυξης

Η αρχική φάση ανάπτυξης ξεκινά με την ενημέρωση των Windows που κυκλοφόρησε στις 9 Νοεμβρίου 2021. Αυτή η έκδοση:

Προσθέτει μέτρα προστασίας από το CVE-2021-42287
Προσθέτει υποστήριξη για την τιμή μητρώου PacRequestorEnforcement , η οποία σας επιτρέπει να μεταβείτε στη φάση επιβολής νωρίτερα

Ο μετριασμός αποτελείται από την εγκατάσταση ενημερώσεων των Windows σε όλες τις συσκευές που φιλοξενούν το ρόλο του ελεγκτή τομέα και ελεγκτές τομέα μόνο για ανάγνωση (RODCs).

12 Ιουλίου 2022: Δεύτερη φάση ανάπτυξης

Η δεύτερη φάση ανάπτυξης ξεκινά με την ενημέρωση των Windows που κυκλοφόρησε στις 12 Ιουλίου 2022. Αυτή η φάση καταργεί τη ρύθμιση PacRequestorEnforcement 0. Η ρύθμιση της pacRequestorEnforcement σε 0 μετά την εγκατάσταση αυτής της ενημέρωσης θα έχει το ίδιο αποτέλεσμα με τη ρύθμιση της pacRequestorEnforcement σε 1. Οι ελεγκτές τομέα (DCs) θα βρίσκονται σε λειτουργία ανάπτυξης.

Σημείωση Αυτή η φάση δεν είναι απαραίτητη εάν το PacRequestorEnforcement δεν έχει οριστεί ποτέ σε 0 στο περιβάλλον σας. Αυτή η φάση βοηθά να διασφαλιστεί ότι οι πελάτες που ορίζουν το PacRequestorEnforcement σε 0μετακινούνται στη ρύθμιση 1 πριν από τη φάση επιβολής.

Σημείωση Αυτή η ενημέρωση προϋποθέτει ότι όλοι οι ελεγκτές τομέα ενημερώνονται με την ενημέρωση των Windows στις 9 Νοεμβρίου 2021 ή μεταγενέστερη.

11 Οκτωβρίου 2022: Φάση επιβολής - (Ενημερώθηκε στις 31/1/23)

Η κυκλοφορία της 11ης Οκτωβρίου 2022 θα μετατρέψει όλους τους ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory στη φάση επιβολής. Η φάση επιβολής καταργεί το πλήκτρο PacRequestorEnforcement και δεν το διαβάζει πλέον. Ως αποτέλεσμα, οι ελεγκτές τομέα των Windows που έχουν εγκαταστήσει την ενημέρωση της 11ης Οκτωβρίου 2022 δεν θα είναι πλέον συμβατοί με:

Ελεγκτές τομέα που δεν εγκατέστηναν τις ενημερώσεις της 9ης Νοεμβρίου 2021 ή νεότερες εκδόσεις.
Οι ελεγκτές τομέα που εγκατέστησαν τις ενημερώσεις της 9ης Νοεμβρίου 2021 ή νεότερες εκδόσεις, αλλά δεν έχουν εγκαταστήσει ακόμη την ενημέρωση της 12ης Ιουλίου 2022 και έχουν τιμή μητρώου PacRequestorEnforcement 0.

Ωστόσο, οι ελεγκτές τομέα των Windows που έχουν εγκαταστήσει την ενημέρωση της 11ης Οκτωβρίου 2022 θα παραμείνουν συμβατοί με:

Ελεγκτές τομέα των Windows στους οποίους έχουν εγκατασταθεί οι ενημερώσεις της 11ης Οκτωβρίου 2022 ή μεταγενέστερες
Ελεγκτές τομέα Windows που έχουν εγκαταστήσει τις ενημερώσεις της 9ης Νοεμβρίου 2021 ή^{μεταγενέστερης} έκδοσης και έχουν τιμή PacRequestorEnforcement ή 1 ή 2

Πληροφορίες κλειδιού μητρώου

Μετά την εγκατάσταση της προστασίας CVE-2021-42287 σε ενημερώσεις των Windows που κυκλοφόρησαν μεταξύ 9 Νοεμβρίου 2021 και 14 Ιουνίου 2022, θα είναι διαθέσιμο το ακόλουθο κλειδί μητρώου:

Δευτερεύον κλειδί μητρώου	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Τιμή	PacRequestorEnforcement
Τύπος δεδομένων	REG_DWORD
Δεδομένα	1: Προσθέστε το νέο PAC στους χρήστες που έχουν πραγματοποιήσει έλεγχο ταυτότητας χρησιμοποιώντας έναν ελεγκτή τομέα της υπηρεσίας καταλόγου Active Directory που έχει εγκατεστημένες τις ενημερώσεις της 9ης Νοεμβρίου 2021 ή νεότερες. Κατά τον έλεγχο ταυτότητας, εάν ο χρήστης διαθέτει το νέο PAC, επικυρώνεται το PAC. Εάν ο χρήστης δεν διαθέτει το νέο PAC, δεν θα ληφθούν περαιτέρω μέτρα. Οι ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory σε αυτήν την κατάσταση λειτουργίας βρίσκονται στη φάση ανάπτυξης. 2: Προσθέστε το νέο PAC στους χρήστες που έχουν πραγματοποιήσει έλεγχο ταυτότητας χρησιμοποιώντας έναν ελεγκτή τομέα της υπηρεσίας καταλόγου Active Directory που έχει εγκατεστημένες τις ενημερώσεις της 9ης Νοεμβρίου 2021 ή νεότερες. Κατά τον έλεγχο ταυτότητας, εάν ο χρήστης διαθέτει το νέο PAC, επικυρώνεται το PAC. Εάν ο χρήστης δεν διαθέτει το νέο PAC, ο έλεγχος ταυτότητας απορρίπτεται. Οι ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory σε αυτήν τη λειτουργία βρίσκονται στη φάση επιβολής. 0: Απενεργοποιεί το κλειδί μητρώου. Δεν συνιστάται. Οι ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory σε αυτήν την κατάσταση λειτουργίας βρίσκονται στη φάση Απενεργοποίηση. Αυτή η τιμή δεν θα υπάρχει μετά τις ενημερώσεις της 12ης Ιουλίου 2022 ή μεταγενέστερες. Σημαντικό Η ρύθμιση 0 δεν είναι συμβατή με τη ρύθμιση 2. Ενδέχεται να παρουσιαστούν περιστασιακές αποτυχίες εάν και οι δύο ρυθμίσεις χρησιμοποιούνται μέσα σε ένα δάσος. Εάν χρησιμοποιείται η ρύθμιση 0, συνιστάται να κάνετε μετάβαση της ρύθμισης 0 (Απενεργοποίηση) στη ρύθμιση 1 (Ανάπτυξη) για τουλάχιστον μία εβδομάδα πριν από τη μετάβαση στη ρύθμιση 2 (λειτουργία επιβολής).
Προεπιλογή	1 (όταν δεν έχει οριστεί κλειδί μητρώου)
Απαιτείται επανεκκίνηση;	Όχι

Συμβάντα ελέγχου

Η ενημέρωση των Windows της 9ης Νοεμβρίου 2021 θα προσθέσει επίσης νέα αρχεία καταγραφής συμβάντων.

PAC χωρίς χαρακτηριστικά

Το KDC συναντά μια TGT χωρίς το buffer χαρακτηριστικού PAC. Είναι πιθανό ότι το άλλο KDC στα αρχεία καταγραφής δεν περιέχει την ενημέρωση ή βρίσκεται σε κατάσταση απενεργοποίησης.

Αρχείο καταγραφής συμβάντων	Σύστημα
Τύπος συμβάντος	Προειδοποίηση
Προέλευση συμβάντος	Microsoft-Windows-Kerberos-Key-Distribution-Center
Αναγνωριστικό συμβάντος	35
Κείμενο συμβάντος	Το Κέντρο διανομής κλειδιών (KDC) αντιμετώπισε ένα εισιτήριο εκχώρησης εισιτηρίου (TGT) από ένα άλλο KDC ("<όνομα KDC>") που δεν περιείχε πεδίο χαρακτηριστικών PAC.

Εισιτήριο χωρίς PAC

Το KDC συναντά ένα TGT ή άλλο δελτίο αποδεικτικών στοιχείων χωρίς PAC. Αυτό εμποδίζει το KDC να επιβάλει ελέγχους ασφαλείας στο εισιτήριο.

Αρχείο καταγραφής συμβάντων	Σύστημα
Τύπος συμβάντος	Προειδοποίηση κατά τη διάρκεια της φάσης ανάπτυξης Σφάλμα κατά τη διάρκεια της φάσης επιβολής
Προέλευση συμβάντος	Microsoft-Windows-Kerberos-Key-Distribution-Center
Αναγνωριστικό συμβάντος	36
Κείμενο συμβάντος	Το Κέντρο διανομής κλειδιών (KDC) αντιμετώπισε ένα εισιτήριο που δεν περιείχε PAC κατά την επεξεργασία ενός αιτήματος για άλλο εισιτήριο. Αυτό απέτρεπε την εκτέλεση ελέγχων ασφαλείας και θα μπορούσε να ανοίξει ευπάθειες ασφαλείας. Πρόγραμμα-πελάτης: <όνομα τομέα>\<> ονόματος χρήστη Δελτίο για: <όνομα υπηρεσίας>

Εισιτήριο χωρίς αιτούντα

Το KDC συναντά ένα TGT ή άλλο δελτίο αποδεικτικών στοιχείων χωρίς το buffer pac requestor. Είναι πιθανό ότι το KDC που κατασκεύασε το PAC δεν περιέχει την ενημέρωση ή βρίσκεται σε κατάσταση απενεργοποίησης.

Σημείωση Ανατρέξτε στην ενότητα " Γνωστά θέματα " για σημαντικές πληροφορίες σχετικά με το Συμβάν 37.

Αρχείο καταγραφής συμβάντων	Σύστημα
Τύπος συμβάντος	Προειδοποίηση κατά τη διάρκεια της φάσης ανάπτυξης Σφάλμα κατά τη διάρκεια της φάσης επιβολής
Προέλευση συμβάντος	Microsoft-Windows-Kerberos-Key-Distribution-Center
Αναγνωριστικό συμβάντος	37
Κείμενο συμβάντος	Το Κέντρο διανομής κλειδιών (KDC) συνάντησε ένα δελτίο που δεν περιείχε πληροφορίες σχετικά με τον λογαριασμό που ζήτησε το εισιτήριο κατά την επεξεργασία ενός αιτήματος για άλλο εισιτήριο. Αυτό απέτρεπε την εκτέλεση ελέγχων ασφαλείας και θα μπορούσε να ανοίξει ευπάθειες ασφαλείας. Εισιτήριο PAC κατασκευασμένο από: <όνομα KDC> Πρόγραμμα-πελάτης: <όνομα τομέα>\<όνομα πελάτη> Δελτίο για: <όνομα υπηρεσίας>

Ασυμφωνία αιτούντος

Η KDC συναντά δελτίο TGT ή άλλο αποδεικτικό δελτίο και ο λογαριασμός που ζήτησε την TGT ή αποδεικτικό εισιτήριο δεν συμφωνεί με τον λογαριασμό για τον οποίο έχει κατασκευαστεί το δελτίο υπηρεσίας.

Αρχείο καταγραφής συμβάντων	Σύστημα
Τύπος συμβάντος	Σφάλμα
Προέλευση συμβάντος	Microsoft-Windows-Kerberos-Key-Distribution-Center
Αναγνωριστικό συμβάντος	38
Κείμενο συμβάντος	Το Κέντρο διανομής κλειδιών (KDC) συνάντησε ένα δελτίο που περιείχε ασυνεπείς πληροφορίες σχετικά με τον λογαριασμό που ζήτησε το δελτίο. Αυτό θα μπορούσε να σημαίνει ότι ο λογαριασμός έχει μετονομαστεί μετά την έκδοση του εισιτηρίου, το οποίο μπορεί να ήταν μέρος μιας απόπειρας εκμετάλλευσης. Εισιτήριο PAC κατασκευασμένο από: <όνομα Kdc> Πρόγραμμα-πελάτης: <όνομα τομέα>\<> ονόματος χρήστη Δελτίο για: <όνομα υπηρεσίας> Αίτηση SID λογαριασμού από την υπηρεσία καταλόγου Active Directory: <> SID Αίτηση SID λογαριασμού από δελτίο: <> SID

Γνωστά προβλήματα

Σύμπτωμα	Λύση
Μετά την εγκατάσταση των ενημερώσεων των Windows που κυκλοφόρησαν στις 9 Νοεμβρίου 2021 ή αργότερα σε ελεγκτές τομέα (DCs), ορισμένοι πελάτες ενδέχεται να δουν το νέο αναγνωριστικό συμβάντος ελέγχου 37 να καταγράφεται μετά από ορισμένες ρυθμίσεις κωδικού πρόσβασης ή λειτουργίες αλλαγής, όπως: CNO ή VCO του συμπλέγματος ενημερώσεων ή επιδιορθώσεων ανακατεύθυνσης Επαναφορά κωδικού πρόσβασης ενός χρήστη από την κονσόλα Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory (dsa.msc) Δημιουργία νέου χρήστη από την κονσόλα Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory (dsa.msc) Αλλαγή κωδικού πρόσβασης για συσκευές τρίτων κατασκευαστών που συμμετέχουν σε τομέα Αν δεν βλέπετε το Αναγνωριστικό συμβάντος 37 μετά την εγκατάσταση των ενημερώσεων των Windows που κυκλοφόρησαν στις 9 Νοεμβρίου 2021 ή αργότερα για μια εβδομάδα και το PacRequestorEnforcement είναι "1" ή "2", τότε το περιβάλλον σας δεν επηρεάζεται. Εάν ορίσετε PacRequestorEnforcement = 1, το αναγνωριστικό συμβάντος 37 καταγράφεται ως προειδοποίηση, αλλά οι αιτήσεις αλλαγής κωδικού πρόσβασης θα είναι επιτυχείς και δεν θα επηρεάσουν τους χρήστες. Εάν ορίσετε PacRequestorEnforcement = 2, οι αιτήσεις αλλαγής κωδικού πρόσβασης θα αποτύχουν και θα προκαλέσουν επίσης αποτυχία των λειτουργιών που αναφέρονται παραπάνω.	Αυτό το πρόβλημα έχει αντιμετωπιστεί στις ακόλουθες ενημερώσεις: Windows 11 - KB5011563 Windows Server 2022 - KB5011558 Windows 10, έκδοση 20H2, Windows 10 έκδοση 21H1 και Windows 10, έκδοση 21H2 - KB5011543 Windows 10, έκδοση 1809 και Windows Server 2019 - KB5011551 Windows 10, έκδοση 1607 και Windows Server 2016 - KB5012596 Windows Server 2012 R2 - KB5012670 Windows Server 2012 - KB5012666 Windows Server 2008 R2 - KB5012649 Windows Server 2008 SP2 - KB5012632

Σύμπτωμα

Λύση

Μετά την εγκατάσταση των ενημερώσεων των Windows που κυκλοφόρησαν στις 9 Νοεμβρίου 2021 ή αργότερα σε ελεγκτές τομέα (DCs), ορισμένοι πελάτες ενδέχεται να δουν το νέο αναγνωριστικό συμβάντος ελέγχου 37 να καταγράφεται μετά από ορισμένες ρυθμίσεις κωδικού πρόσβασης ή λειτουργίες αλλαγής, όπως:

CNO ή VCO του συμπλέγματος ενημερώσεων ή επιδιορθώσεων ανακατεύθυνσης
Επαναφορά κωδικού πρόσβασης ενός χρήστη από την κονσόλα Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory (dsa.msc)
Δημιουργία νέου χρήστη από την κονσόλα Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory (dsa.msc)
Αλλαγή κωδικού πρόσβασης για συσκευές τρίτων κατασκευαστών που συμμετέχουν σε τομέα

Αν δεν βλέπετε το Αναγνωριστικό συμβάντος 37 μετά την εγκατάσταση των ενημερώσεων των Windows που κυκλοφόρησαν στις 9 Νοεμβρίου 2021 ή αργότερα για μια εβδομάδα και το PacRequestorEnforcement είναι "1" ή "2", τότε το περιβάλλον σας δεν επηρεάζεται.

Εάν ορίσετε PacRequestorEnforcement = 1, το αναγνωριστικό συμβάντος 37 καταγράφεται ως προειδοποίηση, αλλά οι αιτήσεις αλλαγής κωδικού πρόσβασης θα είναι επιτυχείς και δεν θα επηρεάσουν τους χρήστες.

Εάν ορίσετε PacRequestorEnforcement = 2, οι αιτήσεις αλλαγής κωδικού πρόσβασης θα αποτύχουν και θα προκαλέσουν επίσης αποτυχία των λειτουργιών που αναφέρονται παραπάνω.

Αυτό το πρόβλημα έχει αντιμετωπιστεί στις ακόλουθες ενημερώσεις:

Windows 11 - KB5011563
Windows Server 2022 - KB5011558
Windows 10, έκδοση 20H2, Windows 10 έκδοση 21H1 και Windows 10, έκδοση 21H2 - KB5011543
Windows 10, έκδοση 1809 και Windows Server 2019 - KB5011551
Windows 10, έκδοση 1607 και Windows Server 2016 - KB5012596
Windows Server 2012 R2 - KB5012670
Windows Server 2012 - KB5012666
Windows Server 2008 R2 - KB5012649
Windows Server 2008 SP2 - KB5012632

Συνήθεις ερωτήσεις

Q1 Τι θα συμβεί εάν έχω ένα συνδυασμό ελεγκτών τομέα της υπηρεσίας καταλόγου Active Directory που ενημερώνονται και δεν ενημερώνονται;

A1. Ένα συνδυασμό ελεγκτών τομέα που ενημερώνονται και δεν ενημερώνονται, αλλά έχουν την προεπιλεγμένη τιμή κλειδιού μητρώου PacRequestorEnforcement 1 είναι συμβατοί μεταξύ τους. Ωστόσο, η Microsoft συνιστά ιδιαιτέρως να μην έχετε ελεγκτές τομέα που ενημερώνονται και δεν ενημερώνονται σε περιβάλλον.

Q2 Τι θα συμβεί εάν έχω ένα συνδυασμό ελεγκτών τομέα Active Directory που έχουν διάφορες τιμές PacRequestorEnforcement;

A2. Ένα μείγμα ελεγκτών τομέα με τιμές PacRequestorEnforcement 0 και 1 είναι συμβατοί μεταξύ τους. Ένα μείγμα ελεγκτών τομέα με τιμές PacRequestorEnforcement 1 και 2 είναι συμβατοί μεταξύ τους. Ένα μείγμα ελεγκτών τομέα με τιμές PacRequestorEnforcement 0 και 2 δεν είναι συμβατοί μεταξύ τους και μπορεί να προκαλέσουν περιστασιακές αποτυχίες. Για περισσότερες λεπτομέρειες, ανατρέξτε στην ενότητα "Βασικές πληροφορίες μητρώου".