KB5008380 - Mises à jour d’authentification (CVE-2021-42287)

Résumé

CVE-2021-42287 concerne une vulnérabilité de contournement de la sécurité qui touche le certificat PAC (Privilege Attribute Certificate) Kerberos et qui permet aux utilisateurs malveillants potentiels d’usurper l’identité des contrôleurs de domaine. Pour que cette vulnérabilité puisse être exploitée, un compte de domaine piraté peut entraîner la création d’un ticket de service par le Centre de distribution de clés (KDC) avec un niveau de privilèges supérieur à celui du compte piraté. Pour ce faire, il empêche le KDC d’identifier le compte de destination du ticket de service avec les privilèges les plus élevés.

Le processus d’authentification amélioré dans CVE-2021-42287 ajoute de nouvelles informations sur le demandeur d’origine aux certificats PAC des tickets TGT (Ticket-Granting Tickets) de Kerberos. Plus tard, quand un ticket de service Kerberos est généré pour un compte, le nouveau processus d’authentification vérifie que le compte qui a demandé le ticket TGT est le même que celui référencé dans le ticket de service.

Après l’installation des mises à jour Windows du 9 novembre 2021 ou ultérieures, les certificats PAC sont ajoutés au ticket TGT de tous les comptes de domaine, même ceux qui ont précédemment choisi de refuser les certificats PAC.

Procédure à suivre

Pour protéger votre environnement et éviter les pannes, effectuez les étapes ci-dessous :

Mettez à jour tous les appareils qui hébergent le rôle Contrôleur de domaine Active Directory en installant la mise à jour de sécurité Windows du 9 novembre 2021 et la mise à jour hors cycle (OOB) du 14 novembre 2021. Trouvez ci-dessous le numéro de BC OOB correspondant à votre système d’exploitation spécifique.

Système d’exploitation	N° d’article
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Après l’installation de la mise à jour du 9 novembre 2021 et la mise à jour OOB du 14 novembre 2021 sur tous les contrôleurs de domaine Active Directory pendant au moins 7 jours, il est vivement recommandé d’activer le mode de mise en conformité sur tous ces contrôleurs de domaine.
À partir de la mise à jour de la phase de mise en conformité du 11 octobre 2022 (mise à jour), le mode de mise en conformité sera activé sur tous les contrôleurs de domaine Windows et sera obligatoire.

Calendrier des mises à jour Windows

Ces mises à jour Windows seront publiées en trois phases :

Déploiement initial : introduction de la mise à jour, ainsi que de la clé de Registre PacRequestorEnforcement.
Deuxième phase : suppression de la valeur 0 pour PacRequestorEnforcement (possibilité de désactiver la clé de Registre).
Phase de mise en conformité : le mode de mise en conformité est activé. Suppression de la clé de Registre PacRequestorEnforcement.

9 novembre 2021 : phase de déploiement initial

La phase de déploiement initial commence par la mise à jour Windows publiée le 9 novembre 2021. Cette version :

Ajoute des protections contre la vulnérabilité CVE-2021-42287
Ajoute la prise en charge de la valeur de Registre PacRequestorEnforcement, qui permet de passer à la phase de mise en conformité de manière anticipée

L’atténuation consiste à installer les mises à jour Windows sur tous les appareils qui hébergent le rôle Contrôleur de domaine et les contrôleurs de domaine en lecture seule (RODC).

12 juillet 2022 (mis à jour) : deuxième phase de déploiement

La deuxième phase de déploiement commence par la mise à jour Windows publiée le 12 juillet 2022. Cette phase supprime le paramètre 0 de PacRequestorEnforcement. Définir PacRequestorEnforcement sur 0 après l’installation de cette mise à jour aura le même effet que définir PacRequestorEnforcement sur 1. Les contrôleurs de domaine (DC) seront en mode de déploiement.

RemarqueCette phase n’est pas nécessaire si PacRequestorEnforcement n’a jamais été défini sur 0 dans votre environnement. Cette phase permet de garantir que les utilisateurs qui ont défini PacRequestorEnforcement sur 0 passent au paramètre 1 avant la phase de mise en conformité.

Remarque Cette mise à jour part du principe que tous les contrôleurs de domaine sont mis à jour avec la mise à jour Windows du 9 novembre 2021 ou d’une mise à jour ultérieure.

11 octobre 2022 (mis à jour) : phase de mise en conformité

La publication du 11 octobre 2022 fera passer tous les contrôleurs de domaine Active Directory à la phase de mise en conformité. La phase de mise en conformité supprimera également définitivement la clé de Registre PacRequestorEnforcement. Par conséquent, les contrôleurs de domaine Windows sur lesquels la mise à jour du 11 octobre 2022 sera installée ne seront plus compatibles avec :

Les contrôleurs de domaine sur lesquels les mises à jour du 9 novembre 2021 ou les mises à jour ultérieures n’ont pas été installées.
Les contrôleurs de domaine sur lesquels les mises à jour du 9 novembre 2021 ou les mises à jour ultérieures ont été installées, mais sur lesquels la mise à jour du 12 juillet 2022 n’a pas encore été installée ET sur lesquels la valeur de Registre PacRequestorEnforcement est égale à 0.

Toutefois, les contrôleurs de domaine Windows sur lesquels la mise à jour du 11 octobre 2022 est installée resteront compatibles avec :

Les contrôleurs de domaine Windows sur lesquels la mise à jour du 11 octobre 2022 ou ultérieure est installée
Les contrôleurs de domaine Windows sur lesquels les mises à jour du 9 novembre 2021 ou ultérieures ont été installées et sur lesquels la valeur de PacRequestorEnforcement est égale à 1 ou 2

Informations sur la clé de Registre

Après l’installation des protections contre CVE-2021-42287 dans les mises à jour Windows publiées entre le 9 novembre 2021 et le 14 juin 2022, la clé de Registre suivante sera disponible :

Sous-clé de Registre	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Valeur	PacRequestorEnforcement
Type de données	REG_DWORD
Données	1 : ajoute le nouveau certificat PAC aux utilisateurs qui se sont authentifiés à l’aide d’un contrôleur de domaine Active Directory sur lesquels les mises à jour du 9 novembre 2021 ou ultérieures sont installées. Lors de l’authentification, si l’utilisateur possède le nouveau certificat PAC, ce dernier est validé. Si l’utilisateur n’a pas le nouveau certificat PAC, aucune action supplémentaire n’est prise. Dans ce mode, les contrôleurs de domaine Active Directory sont en phase de déploiement. 2 : ajoute le nouveau certificat PAC aux utilisateurs qui se sont authentifiés à l’aide d’un contrôleur de domaine Active Directory sur lesquels les mises à jour du 9 novembre 2021 ou ultérieures sont installées. Lors de l’authentification, si l’utilisateur possède le nouveau certificat PAC, ce dernier est validé. Si l’utilisateur n’a pas le nouveau certificat PAC, l’authentification est refusée. Dans ce mode, les contrôleurs de domaine Active Directory sont en phase de mise en conformité. 0 : désactive la clé de Registre. Paramètre non recommandé. Dans ce mode, les contrôleurs de domaine Active Directory sont en phase de désactivation. Cette valeur n’existera plus après les mises à jour du 12 juillet 2022 ou ultérieures. Important Le paramètre 0 n’est pas compatible avec le paramètre 2. Des échecs intermittents peuvent se produire si les deux paramètres sont utilisés dans une forêt. Si le paramètre 0 est utilisé, il est recommandé de passer du paramètre 0 (désactivation) au paramètre 1 (déploiement) pendant au moins une semaine avant de passer au paramètre 2 (mode de mise en conformité).
Valeur par défaut	1 (si la clé de Registre n’est pas définie)
Redémarrage nécessaire ?	Non

Audit des événements

La mise à jour Windows du 9 novembre 2021 ajoute également de nouveaux journaux des événements.

Certificat PAC sans attributs

Le KDC rencontre un ticket TGT sans la mémoire tampon d’attributs PAC. Il est probable que l’autre KDC dans les journaux ne contienne pas la mise à jour ou soit en mode Désactivé.

Journal des événements	Système
Type d’événement	Avertissement
Source de l’événement	Kdcsvc
ID d’événement	35
Texte de l’événement	Le Centre de distribution de clés (KDC) a rencontré un ticket TGT (Ticket-Granting Ticket) provenant d’un autre KDC (« <KDC Name> ») qui ne contenait pas de champ d’attributs PAC.

Ticket sans certificat PAC

Le KDC rencontre un ticket TGT ou un autre ticket de preuve sans certificat PAC. Cela empêche le KDC d’appliquer les vérifications de sécurité sur le ticket.

Journal des événements	Système
Type d’événement	Avertissement pendant la phase de déploiement Erreur pendant la phase de mise en conformité
Source de l’événement	Kdcsvc
ID d’événement	36
Texte de l’événement	Le Centre de distribution de clés (KDC) a rencontré un ticket qui ne contenait pas de certificat PAC lors du traitement d’une requête d’un autre ticket. Cela empêchait l’exécution des vérifications de sécurité et pouvait ouvrir des failles de sécurité. Client : <Domain Name>\<User Name> Ticket pour : <Service Name>

Ticket sans demandeur

Le KDC rencontre un ticket TGT ou un autre ticket de preuve sans tampon de demandeur PAC. Il est probable que le KDC qui a construit le certificat PAC ne contienne pas la mise à jour ou soit en mode Désactivé.

RemarqueConsultez la section Problèmes connus pour obtenir des informations importantes sur l’événement 37.

Journal des événements	Système
Type d’événement	Avertissement pendant la phase de déploiement Erreur pendant la phase de mise en conformité
Source de l’événement	Kdcsvc
ID d’événement	37
Texte de l’événement	Le Centre de distribution de clés (KDC) a rencontré un ticket qui ne contenait pas d’informations sur le compte qui a demandé le ticket lors du traitement d’une requête d’un autre ticket. Cela empêchait l’exécution des vérifications de sécurité et pouvait ouvrir des failles de sécurité. Certificat PAC du ticket construit par : <KDC Name> Client : <Domain Name>\<Client Name> Ticket pour : <Service Name>

Non-concordance du demandeur

Le KDC rencontre un ticket TGT ou un autre ticket de preuve, et le compte qui a demandé le ticket TGT ou le ticket de preuve ne correspond pas à celui pour lequel le ticket de service est créé.

Journal des événements	Système
Type d’événement	Erreur
Source de l’événement	Kdcsvc
ID d’événement	38
Texte de l’événement	Le Centre de distribution de clés (KDC) a rencontré un ticket qui contenaient des informations incohérentes sur le compte qui a demandé le ticket. Le compte pourrait avoir été renommé depuis l’émission du ticket, ce qui peut faire partie d’une tentative d’exploitation. Certificat PAC du ticket construit par : <Kdc Name> Client : <Domain Name>\<User Name> Ticket pour : <Service Name> SID du compte demandeur d’Active Directory : <SID> SID du compte demandeur du ticket : <SID>

Problèmes connus

Symptôme	Solution de contournement
Après avoir installé les mises à jour Windows publiées le 9 novembre 2021 ou plus tard sur les contrôleurs de domaine (DC), certains clients peuvent voir le nouvel ID d’événement d’audit 37 enregistré après certains paramètres de mot de passe ou des opérations de modification telles que : Mettre à jour ou réparer le CNO ou le VCO du cluster de basculement Réinitialiser le mot de passe d’un utilisateur à partir de la console Utilisateurs et ordinateurs Active Directory (dsa.msc) Créer un nouvel utilisateur à partir de la console Utilisateurs et ordinateurs Active Directory (dsa.msc) Modifier le mot de passe pour les appareils tiers joints à un domaine Si vous ne voyez pas l’ID d’événement 37 après avoir installé les mises à jour Windows publiées le 9 novembre 2021 ou plus tard pendant une semaine et que PacRequestorEnforcement est ‘1‘ ou ‘2’, alors votre environnement n’est pas affecté. Si vous définissez PacRequestorEnforcement = 1, l’ID d’événement 37 est enregistré comme un avertissement, mais les demandes de changement de mot de passe réussiront et n’affecteront pas les utilisateurs. Si vous définissez PacRequestorEnforcement = 2, les demandes de changement de mot de passe échoueront et entraîneront également l’échec des opérations énumérées ci-dessus.	Ce problème a été résolu dans les mises à jour suivantes : Windows 11 - KB5011563 Windows Server 2022 - KB5011558 Windows 10, version 20H2, Windows 10 version 21H1 et Windows 10, version 21H2 - KB5011543 Windows 10, version 1809 et Windows Server 2019 - KB5011551 Windows 10, version 1607 et Windows Server 2016 - KB5012596 Windows Server 2012 R2 - KB5012670 Windows Server 2012 - KB5012666 Windows Server 2008 R2 - KB5012649 Windows Server 2008 SP2 - KB5012632

Symptôme

Solution de contournement

Après avoir installé les mises à jour Windows publiées le 9 novembre 2021 ou plus tard sur les contrôleurs de domaine (DC), certains clients peuvent voir le nouvel ID d’événement d’audit 37 enregistré après certains paramètres de mot de passe ou des opérations de modification telles que :

Mettre à jour ou réparer le CNO ou le VCO du cluster de basculement
Réinitialiser le mot de passe d’un utilisateur à partir de la console Utilisateurs et ordinateurs Active Directory (dsa.msc)
Créer un nouvel utilisateur à partir de la console Utilisateurs et ordinateurs Active Directory (dsa.msc)
Modifier le mot de passe pour les appareils tiers joints à un domaine

Si vous ne voyez pas l’ID d’événement 37 après avoir installé les mises à jour Windows publiées le 9 novembre 2021 ou plus tard pendant une semaine et que PacRequestorEnforcement est ‘1‘ ou ‘2’, alors votre environnement n’est pas affecté.

Si vous définissez PacRequestorEnforcement = 1, l’ID d’événement 37 est enregistré comme un avertissement, mais les demandes de changement de mot de passe réussiront et n’affecteront pas les utilisateurs.

Si vous définissez PacRequestorEnforcement = 2, les demandes de changement de mot de passe échoueront et entraîneront également l’échec des opérations énumérées ci-dessus.

Ce problème a été résolu dans les mises à jour suivantes :

Windows 11 - KB5011563
Windows Server 2022 - KB5011558
Windows 10, version 20H2, Windows 10 version 21H1 et Windows 10, version 21H2 - KB5011543
Windows 10, version 1809 et Windows Server 2019 - KB5011551
Windows 10, version 1607 et Windows Server 2016 - KB5012596
Windows Server 2012 R2 - KB5012670
Windows Server 2012 - KB5012666
Windows Server 2008 R2 - KB5012649
Windows Server 2008 SP2 - KB5012632

Forum aux questions

Q1 Que se passe-t-il si j’ai un mélange de contrôleurs de domaine Active Directory qui sont mis à jour et non mis à jour ?

R1. Dans le cas d’un mélange de contrôleurs de domaine qui sont mis à jour et non mis à jour, mais dont la clé de Registre PacRequestorEnforcement a la valeur par défaut 1, tous ces contrôleurs sont compatibles entre eux. Il est toutefois vivement recommandé d’utiliser des contrôleurs de domaine mis à jour et non mis à jour dans un environnement.

Q2 Que se passe-t-il si j’ai un mélange de contrôleurs de domaine Active Directory qui possèdent différentes valeurs PacRequestorEnforcement ?

R2. Dans le cas d’un mélange de contrôleurs de domaine dont les valeurs PacRequestorEnforcement sont égales à 0 et 1, tous ces contrôleurs sont compatibles entre eux. Dans le cas d’un mélange de contrôleurs de domaine dont les valeurs PacRequestorEnforcement sont égales à 1 et 2, tous ces contrôleurs sont compatibles entre eux. Dans le cas d’un mélange de contrôleurs de domaine dont les valeurs PacRequestorEnforcement sont égales à 0 et 2, tous ces contrôleurs sont compatibles entre eux, mais des échecs intermittents peuvent se produire. Pour plus d’informations, consultez la section Informations sur la clé de Registre.