KB5008380: Actualizaciones de autenticación (CVE-2021-42287)

Resumen

CVE-2021-42287 aborda una vulnerabilidad de omisión de seguridad que afecta al Certificado de atributo de privilegio (PAC) de Kerberos y permite a los posibles atacantes suplantar controladores de dominio. Para aprovechar esta vulnerabilidad, una cuenta de dominio en peligro puede hacer que el Centro de distribución de claves (KDC) cree un vale de servicio con un nivel de privilegio superior al de la cuenta en peligro. Esto se logra impidiendo que el KDC identifique a qué cuenta corresponde el vale de servicio con privilegios más altos.

El proceso de autenticación mejorado en CVE-2021-42287 añade nueva información sobre el solicitante original a los PAC de los vales de servicio Kerberos (TGT). Más adelante, cuando se genere un vale de servicio Kerberos para una cuenta, el nuevo proceso de autenticación comprobará que la cuenta que solicitó el TGT es la misma cuenta a la que se hace referencia en el vale de servicio.

Después de instalar las actualizaciones de Windows con fecha del 9 de noviembre de 2021 o posterior, los PAC se añadirán al TGT de todas las cuentas de dominio, incluso de aquellas que previamente optaron por rechazar los PAC.

Tomar medidas

Para proteger su entorno y evitar interrupciones, realice los pasos siguientes:

Actualice todos los dispositivos que alojan el rol de controlador de dominio de Active Directory. Para ello, instale la actualización de seguridad del 9 de noviembre de 2021 o la actualización fuera de banda (OOB) del 14 de noviembre de 2021. Encuentre el número KB de OOB para su sistema operativo específico a continuación.

SO	Número de KB
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Después de instalar la actualización de seguridad del 9 de noviembre de 2021 y la actualización OOB del 14 de noviembre de 2021 en todos los controladores de dominio de Active Directory durante al menos 7 días, le recomendamos encarecidamente que habilite el modo de cumplimiento en todos los controladores de dominio de Active Directory.
A partir de la actualización de la fase de cumplimiento del 11 de octubre de 2022 (actualizada), el modo de cumplimiento se activará en todos los controladores de dominio de Windows y será obligatorio.

Calendario de las actualizaciones de Windows

Estas actualizaciones de Windows se publicarán en tres fases:

Implementación inicial: introducción de la actualización, así como de la clave del registro PacRequestorEnforcement
Segunda implementación: eliminación del valor 0 de PacRequestorEnforcement (posibilidad de desactivar la clave del registro)
Fase de cumplimiento: el modo de cumplimiento está habilitado. Eliminación de la clave del registro PacRequestorEnforcement

9 de noviembre de 2021: Fase inicial de implementación

La fase de implementación inicial comienza con la actualización de Windows publicada el 9 de noviembre de 2021. Esta publicación:

Añade protección contra CVE-2021-42287
Añade compatibilidad con el valor del registro PacRequestorEnforcement, que le permite pasar a la fase de cumplimiento de forma anticipada

La mitigación consiste en la instalación de actualizaciones de Windows en todos los dispositivos que albergan el rol de controlador de dominio y los controladores de dominio de solo lectura (RODC).

12 de julio de 2022 (actualizado): segunda fase de implementación

La segunda fase de implementación comienza con la actualización de Windows publicada el 12 de julio de 2022. Esta fase quita el valor 0 de PerformTicketSignature. Establecer el valor 0 a PerformTicketSignature después de instalar esta actualización tendrá el mismo efecto que establecer el valor 1 a PerformTicketSignature. Los controladores de dominio (DC) estarán en modo de implementación.

Nota: Esta fase no es necesaria si PerformTicketSignature nunca se estableció en 0 en su entorno. Esta fase ayuda a garantizar que los clientes que establecen PacRequestorEnforcement en 0 pasen al valor de 1 antes de la fase de cumplimiento.

Nota Esta actualización supone que todos los controladores de dominio están actualizados con la actualización de Windows del 9 de noviembre de 2021 o posterior.

11 de octubre de 2022 (actualizado): fase de cumplimiento

La versión del 11 de octubre de 2022 hará la transición de todos los controladores de dominio de Active Directory a la fase de cumplimiento. La fase de cumplimiento también quitará por completo la clave del registro PacRequestorEnforcement. Como resultado, los controladores de dominio de Windows que hayan instalado la actualización del 11 de octubre de 2022 dejarán de ser compatibles con:

Los controladores de dominio que no hayan instalado las actualizaciones del 9 de noviembre de 2021 o posteriores.
Los controladores de dominio que hayan instalado las actualizaciones del 9 de noviembre de 2021 o posteriores, pero que aún no hayan instalado la actualización del 12 de julio de 2022 Y que tengan un valor de registro PacRequestorEnforcement de 0.

Sin embargo, los controladores de dominio de Windows que hayan instalado la actualización del 11 de octubre de 2022 seguirán siendo compatibles con:

Los controladores de dominio de Windows que hayan instalado la actualización del 11 de octubre de 2022 o posteriores
Los controladores de dominio de Windows que hayan instalado las actualizaciones del 9 de noviembre de 2021 o posteriores y tengan un valor de PacRequestorEnforcement de 1 o 2

Información de clave del registro

Después de instalar las protecciones de CVE-2021-42287 en las actualizaciones de Windows publicadas entre el 9 de noviembre de 2021 y el 14 de junio de 2022, estará disponible la siguiente clave del registro:

Subclave del Registro	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Valor	PacRequestorEnforcement
Tipo de datos	REG_DWORD
Datos	1: Añade el nuevo PAC a los usuarios que se autenticaron con un controlador de dominio de Active Directory que tiene instaladas las actualizaciones del 9 de noviembre de 2021 o posteriores. Al autenticarse, si el usuario tiene el nuevo PAC, este se valida. Si el usuario no tiene el nuevo PAC, no se realiza ninguna otra acción. Los controladores de dominio de Active Directory en este modo se encuentran en la fase de implementación. 2: Añade el nuevo PAC a los usuarios que se autenticaron con un controlador de dominio de Active Directory que tiene instaladas las actualizaciones del 9 de noviembre de 2021 o posteriores. Al autenticarse, si el usuario tiene el nuevo PAC, este se valida. Si el usuario no tiene el nuevo PAC, se deniega la autenticación. Los controladores de dominio de Active Directory en este modo se encuentran en la fase de cumplimiento. 0: Deshabilita la clave del registro. No recomendado. Los controladores de dominio de Active Directory en este modo se encuentran en la fase de deshabilitado. Este valor no existirá después de las actualizaciones del 12 de julio de 2022 o posteriores. Importante El valor 0 no es compatible con la el valor 2. Pueden producirse errores intermitentes si ambos valores de configuración se usan en un bosque. Si se usa el valor 0, se recomienda cambiar del valor 0 (Deshabilitar) al valor 1 (Implementación) durante al menos una semana antes de pasar al valor 2 (modo de cumplimiento).
Valor predeterminado	1 (si no está establecida la clave del Registro)
¿Es necesario reiniciar?	No

Eventos de auditoría

La actualización de Windows del 9 de noviembre de 2021 también añadirá nuevos registros de eventos.

PAC sin atributos

El KDC encuentra un TGT sin el búfer de atributo PAC. Es probable que el otro KDC de los registros no contenga la actualización o esté en modo Deshabilitado.

Registro de eventos	Sistema
Tipos de eventos	Advertencia
Origen del evento	Kdcsvc
Id. del evento	35
Texto del evento	El Centro de distribución de claves (KDC) encontró un vale de concesión de vales (TGT) de otro KDC ("<KDC Name>") que no contenía un campo de atributos PAC.

Vale sin PAC

El KDC encuentra un TGT u otro vale de evidencia sin un PAC. Esto impide que el KDC aplique comprobaciones de seguridad en el vale.

Registro de eventos	Sistema
Tipos de eventos	Advertencia durante la fase de implementación Error durante la fase de cumplimiento
Origen del evento	Kdcsvc
Id. del evento	36
Texto del evento	El Centro de distribución de claves (KDC) encontró un vale que no contenía un PAC mientras procesaba una solicitud de otro vale. Esto impidió la ejecución de las comprobaciones de seguridad y pudo abrir vulnerabilidades de seguridad. Cliente: <Domain Name>\<User Name> Vale para: <Service Name>

Ticket sin solicitante

El KDC encuentra un TGT u otro vale de evidencia sin el búfer del solicitante del PAC. Es probable que el KDC que construyó el PAC no contenga la actualización o esté en modo Deshabilitado.

Nota: Consulte la sección Problemas conocidos para obtener información importante sobre el evento 37.

Registro de eventos	Sistema
Tipos de eventos	Advertencia durante la fase de implementación Error durante la fase de cumplimiento
Origen del evento	Kdcsvc
Id. del evento	37
Texto del evento	El Centro de distribución de claves (KDC) encontró un vale que no contenía información sobre la cuenta que solicitó el vale mientras procesaba una solicitud de otro vale. Esto impidió la ejecución de las comprobaciones de seguridad y pudo abrir vulnerabilidades de seguridad. Vale de PAC creado por: <KDC Name> Cliente: <Domain Name>\<Client Name> Vale para: <Service Name>

Error de coincidencia del solicitante

El KDC encuentra un TGT u otro vale de evidencia, y la cuenta que solicitó el TGT o el vale de evidencia no coincide con la cuenta para la que se creó el vale de servicio.

Registro de eventos	Sistema
Tipos de eventos	Error
Origen del evento	Kdcsvc
Id. del evento	38
Texto del evento	El Centro de distribución de claves (KDC) encontró un vale que contenía información incoherente sobre la cuenta que solicitó el vale. Esto podría significar que se ha cambiado el nombre de la cuenta desde que se emitió el vale, que podría haber sido parte de un intento de explotación. Vale de PAC creado por: <Kdc Name> Cliente: <Domain Name>\<User Name> Vale para: <Service Name> SID de la cuenta solicitante desde Active Directory: <SID> SID de la cuenta solicitante desde el vale: <SID>

Problemas conocidos

Síntoma	Solución alternativa
Después de instalar las actualizaciones de Windows publicadas el 9 de noviembre de 2021 o posteriores en los controladores de dominio, algunos clientes pueden ver el nuevo ID de evento de auditoría 37 registrado después de ciertas operaciones de configuración de contraseña o cambio, como las siguientes: Actualizar o reparar el CNO o VCO del clúster de conmutación por error Restablecer la contraseña de un usuario desde la consola Usuarios y equipos de Active Directory (dsa.msc) Crear un nuevo usuario desde la consola Usuarios y equipos de Active Directory (dsa.msc) Cambiar la contraseña de dispositivos de terceros unidos al dominio Si no ve el ID de evento 37 después de instalar las actualizaciones de Windows publicadas el 9 de noviembre de 2021 o más tarde durante una semana y PacRequestorEnforcement es 1 o 2, su entorno no se ve afectado. Si establece PacRequestorEnforcement = 1, el ID de evento 37 se registra como una advertencia, pero las solicitudes de cambio de contraseña prosperarán y no afectarán a los usuarios. Si establece PacRequestorEnforcement = 2, las solicitudes de cambio de contraseña fallarán y las operaciones enumeradas anteriormente también.	Este problema se ha resuelto en las actualizaciones siguientes: Windows 11: KB5011563 Windows Server 2022: KB5011558 Windows 10, versión 20H2, Windows 10 versión 21H1 y Windows 10, versión 21H2: KB5011543 Windows 10, versión 1809 y Windows Server 2019: KB5011551 Windows 10, versión 1607 y Windows Server 2016: KB5012596 Windows Server 2012 R2: KB5012670 Windows Server 2012: KB5012666 Windows Server 2008 R2: KB5012649 Windows Server 2008 SP2: KB5012632

Síntoma

Solución alternativa

Después de instalar las actualizaciones de Windows publicadas el 9 de noviembre de 2021 o posteriores en los controladores de dominio, algunos clientes pueden ver el nuevo ID de evento de auditoría 37 registrado después de ciertas operaciones de configuración de contraseña o cambio, como las siguientes:

Actualizar o reparar el CNO o VCO del clúster de conmutación por error
Restablecer la contraseña de un usuario desde la consola Usuarios y equipos de Active Directory (dsa.msc)
Crear un nuevo usuario desde la consola Usuarios y equipos de Active Directory (dsa.msc)
Cambiar la contraseña de dispositivos de terceros unidos al dominio

Si no ve el ID de evento 37 después de instalar las actualizaciones de Windows publicadas el 9 de noviembre de 2021 o más tarde durante una semana y PacRequestorEnforcement es 1 o 2, su entorno no se ve afectado.

Si establece PacRequestorEnforcement = 1, el ID de evento 37 se registra como una advertencia, pero las solicitudes de cambio de contraseña prosperarán y no afectarán a los usuarios.

Si establece PacRequestorEnforcement = 2, las solicitudes de cambio de contraseña fallarán y las operaciones enumeradas anteriormente también.

Este problema se ha resuelto en las actualizaciones siguientes:

Windows 11: KB5011563
Windows Server 2022: KB5011558
Windows 10, versión 20H2, Windows 10 versión 21H1 y Windows 10, versión 21H2: KB5011543
Windows 10, versión 1809 y Windows Server 2019: KB5011551
Windows 10, versión 1607 y Windows Server 2016: KB5012596
Windows Server 2012 R2: KB5012670
Windows Server 2012: KB5012666
Windows Server 2008 R2: KB5012649
Windows Server 2008 SP2: KB5012632

Preguntas más frecuentes

P1 ¿Qué sucede si tengo una mezcla de controladores de dominio de Active Directory actualizados y no actualizados?

R1. Una mezcla de controladores de dominio actualizados y no actualizados pero con el valor predeterminado de clave de registro PacRequestorEnforcement de 1 son compatibles entre sí. Sin embargo, Microsoft desaconseja encarecidamente tener controladores de dominio actualizados y no actualizados en un entorno.

P2 ¿Qué sucede si tengo una mezcla de controladores de dominio de Active Directory que tienen varios valores de PacRequestorEnforcement?

R2. Una mezcla de controladores de dominio que tienen valores de PacRequestorEnforcement de 0 y 1 son compatibles entre sí. Una mezcla de controladores de dominio que tienen valores de PacRequestorEnforcement de 1 y 2 son compatibles entre sí. Una mezcla de controladores de dominio que tienen valores de PacRequestorEnforcement de 0 y 2 no son compatibles entre sí y pueden causar errores intermitentes. Consulte la sección Información de clave del registro para obtener más información.