KB5008380—עדכוני אימות (CVE-2021-42287)

סיכום

CVE-2021-42287 מטפל בפגיעות של עקיפת אבטחה שמשפיעה על אישור תכונת ההרשאות של Kerberos (PAC) ומאפשרת לתוקפים פוטנציאליים להתחזות לבקרי תחום. כדי לנצל פגיעות זו, חשבון תחום שנחשף לסכנה עלול לגרום למרכז התפלגות המפתח (KDC) ליצור כרטיס שירות עם רמת הרשאה גבוהה יותר מזה של החשבון שנחשף לסכנה. הוא עושה זאת על-ידי מניעה מה- KDC לזהות באיזה חשבון מיועד כרטיס שירות ההרשאות הגבוה יותר.

תהליך האימות השתפר ב- CVE-2021-42287 מוסיף מידע חדש אודות המבקש המקורי ל- PACs של Kerberos Ticket-Granting (TGT). מאוחר יותר, כאשר כרטיס שירות של Kerberos נוצר עבור חשבון, תהליך האימות החדש יאמת שהחשבון שביקש את ה- TGT הוא אותו חשבון שאליו מתבצעת הפניה בכרטיס השירות.

לאחר התקנת עדכוני Windows מתאריך 9 בנובמבר 2021 ואילך, לוחות PAC יתווספו ל- TGT של כל חשבונות התחומים, גם חשבונות שפורסמו בעבר בדחיית PACs.

בצע פעולה

כדי להגן על הסביבה שלך ולהימנע מהתנתקות, בצע את השלבים הבאים:

עדכן את כל המכשירים שמארחים את תפקיד בקר התחום של Active Directory על-ידי התקנת עדכון האבטחה שפורסם ב- 9 בנובמבר 2021 ועדכון האבטחה שפורסם ב- 14 בנובמבר 2021 (OOB). חפש את מספר ה- KB של OOB עבור מערכת ההפעלה הספציפית שלך להלן.

מערכת הפעלה	מספר KB
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

לאחר התקנת עדכון האבטחה של 9 בנובמבר 2021 ועדכון OOB של 14 בנובמבר 2021 בכל בקרי התחום של Active Directory למשך 7 ימים לפחות, מומלץ מאוד להפוך מצב אכיפה לזמין בכל בקרי התחום של Active Directory.
החל מהעדכון של שלב האכיפה (מעודכן) מה- 11 באוקטובר 2022, מצב האכיפה יהיה זמין בכל בקרי התחום של Windows ויידרש.

תזמון עדכוני Windows - (עודכן ב- 31/1/23)

עדכוני windows עדכונים ישוחררו בשלושה שלבים:

פריסה ראשונית – מבוא לעדכון וכן מפתח הרישום של PacRequestorEnforcement
פריסה שניה – הסרת ערך האכיפה PacRequestorEnforcement של 0 (היכולת להפוך את מפתח הרישום ללא זמין)
שלב האכיפה – מצב אכיפה זמין. שלב זה מבטל את המקש PacRequestorEnforcement ולא מקריא אותו עוד

9 בנובמבר 2021: שלב הפריסה הראשונית

שלב הפריסה הראשונית מתחיל בעדכון Windows שפורסם ב- 9 בנובמבר, 2021. מהדורה זו:

הוספת הגנות מפני CVE-2021-42287
הוספת תמיכה עבור ערך הרישום PacRequestorEnforcement , המאפשר לך לעבור לשלב האכיפה בשלב מוקדם

צמצום הסיכונים כולל את התקנת עדכוני Windows בכל המכשירים שמארחים את תפקיד בקר התחום ואת בקרי התחום לקריאה בלבד (RODCs).

12 ביולי 2022: שלב הפריסה השני

שלב הפריסה השני מתחיל בעדכון Windows שפורסם ב- 12 ביולי, 2022. שלב זה מסיר את הגדרת האכיפה PacRequestorE של 0. הגדרת אכיפת PacRequestor ל - 0 לאחר התקנת עדכון זה תהיה אותה השפעה כמו הגדרת אכיפת PacRequestorE ל - 1. בקרי התחום (DCs) יהיו במצב פריסה.

הערה שלב זה אינו נחוץ אם אכיפת PacRequestorEnforcement מעולם לא הוגדרה ל- 0 בסביבה שלך. שלב זה עוזר להבטיח שלקוחות שהגדירו את PacRequestorEnforcement ל- 0יעבירו להגדרה 1 לפני שלב האכיפה.

הערה עדכון זה מבוסס על ההנחה שכל בקרי התחום מעודכנים בעדכון Windows מ- 9 בנובמבר 2021 ואילך.

11 באוקטובר 2022: שלב האכיפה - (עודכן ב- 31/1/23)

מהדורת 11 באוקטובר 2022 תגרום למעבר של כל בקרי התחום של Active Directory לשלב האכיפה. שלב האכיפה מבטל את מפתח האכיפה של PacRequestorE ולא מקריא אותו עוד. כתוצאה מכך, בקרי התחום של Windows שהתקיןו את העדכון של 11 באוקטובר 2022 לא יהיו עוד תואמים ל:

בקרי תחום שלא התקנת את העדכונים של 9 בנובמבר 2021 ואילך.
בקרי תחום שהתקין את העדכונים של 9 בנובמבר 2021 ואילך, אך עדיין לא התקנתם את העדכון של 12 ביולי 2022 ושל מי יש ערך רישום PacRequestorEnforcement של 0.

עם זאת, בקרי התחום של Windows שהתקיןו את העדכון של 11 באוקטובר 2022 יישארו תואמים ל:

בקרי תחום של Windows שהתקין את העדכונים של 11 באוקטובר 2022 ואילך
בקרי תחום חלון שהתקין את העדכונים ב^{- 9} בנובמבר, 2021 ואילך ויש להם ערך של אכיפת PacRequestorEnforcement או 1 או 2

פרטי מפתח רישום

לאחר התקנת הגנות CVE-2021-42287 בעדכוני Windows שהופצו בין 9 בנובמבר 2021 ל- 14 ביוני 2022, מפתח הרישום הבא יהיה זמין:

מפתח משנה של הרישום	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
‏‏ערך	אכיפת PacRequestor
סוג נתונים	REG_DWORD
‏‏נתונים	1: הוסף את PAC החדש למשתמשים אשר ביצעו אימות באמצעות בקר תחום של Active Directory שבו מותקנים העדכונים של 9 בנובמבר, 2021 ואילך. בעת אימות, אם למשתמש יש PAC חדש, PAC מאומת. אם המשתמש אינו כולל את PAC החדש, לא תינקט פעולה נוספת. בקרי תחום של Active Directory במצב זה נמצאים בשלב הפריסה. 2: הוסף את PAC החדש למשתמשים אשר ביצעו אימות באמצעות בקר תחום של Active Directory שבו מותקנים העדכונים של 9 בנובמבר, 2021 ואילך. בעת אימות, אם למשתמש יש PAC חדש, PAC מאומת. אם המשתמש אינו כולל את PAC החדש, האימות נדחה. בקרי תחום של Active Directory במצב זה נמצאים בשלב האכיפה. 0: הפיכת מפתח הרישום ללא זמין. לא מומלץ. בקרי תחום של Active Directory במצב זה נמצאים בשלב לא זמין. ערך זה לא יהיה קיים לאחר העדכונים של 12 ביולי 2022 ואילך. חשוב הגדרת 0 אינה תואמת להגדרה 2. כשלים לסירוגין עשויים להתרחש אם שתי ההגדרות נמצאות בשימוש בתוך יער. אם נעשה שימוש בהגדרה 0, מומלץ להעביר את הגדרת המעבר 0 (הפוך ללא זמין) להגדרת 1 (פריסה) למשך לפחות שבוע לפני המעבר להגדרה 2 (מצב אכיפה).
ברירת מחדל	1 (כאשר מפתח הרישום אינו מוגדר)
האם נדרשת הפעלה מחדש?	לא

אירועי ביקורת

עדכון Windows שפורסם ב- 9 בנובמבר 2021 יוסיף גם יומני אירועים חדשים.

PAC ללא תכונות

ה- KDC נתקל ב- TGT ללא מאגר התכונה PAC. ייתכן שה- KDC האחר ביומני הרישום אינו מכיל את העדכון או נמצא במצב לא זמין.

‏‏יומן אירועים	מערכת
סוג אירוע	שלט אזהרה
מקור האירוע	Microsoft-Windows-Kerberos-Key-Distribution-Center
מזהה האירוע	35
טקסט אירוע	מרכז התפלגות המפתח (KDC) נתקל בכרטיס הענקת כרטיסים (TGT) מ- KDC אחר ("<KDC name>") שלא הכיל שדה תכונות PAC.

כרטיס ללא PAC

ה- KDC נתקל בכרטיס TGT או בכרטיס אחר של ראיות ללא PAC. פעולה זו מונעת מה- KDC לאכוף את בדיקת האבטחה בכרטיס.

‏‏יומן אירועים	מערכת
סוג אירוע	אזהרה במהלך שלב הפריסה שגיאה במהלך שלב האכיפה
מקור האירוע	Microsoft-Windows-Kerberos-Key-Distribution-Center
מזהה האירוע	36
טקסט אירוע	מרכז התפלגות המפתח (KDC) נתקל בכרטיס שלא הכיל PAC בעת עיבוד בקשה לכרטיס אחר. פעולה זו מנעה את הפעלתן של בדיקת אבטחה ועלותה לפתוח פגיעויות אבטחה. לקוח: <שם תחום>\<שם משתמש> כרטיס עבור: <שם שירות>

כרטיס ללא מבקש

ה- KDC נתקל בכרטיס TGT או בכרטיס אחר לראיות ללא מאגר מבקש PAC. ייתכן שה- KDC שבון את PAC אינו מכיל את העדכון או נמצא במצב לא זמין.

הערה עיין בסעיף בעיות ידועות לקבלת מידע חשוב אודות אירוע 37.

‏‏יומן אירועים	מערכת
סוג אירוע	אזהרה במהלך שלב הפריסה שגיאה במהלך שלב האכיפה
מקור האירוע	Microsoft-Windows-Kerberos-Key-Distribution-Center
מזהה האירוע	37
טקסט אירוע	מרכז התפלגות המפתח (KDC) נתקל בכרטיס שלא הכיל מידע אודות החשבון שביקש את הכרטיס בעת עיבוד בקשה לכרטיס אחר. פעולה זו מנעה את הפעלתן של בדיקת אבטחה ועלותה לפתוח פגיעויות אבטחה. כרטיס PAC נבנה על-ידי: <שם KDC> לקוח: <שם תחום>\<שם לקוח> כרטיס עבור: <שם שירות>

אי-התאמה של מבקש

ה- KDC נתקל בכרטיס TGT או בכרטיס אחר לראיות, והחשבון שביקש את ה- TGT או כרטיס הראיות אינו תואם את החשבון שעבורו בנוי כרטיס השירות.

‏‏יומן אירועים	מערכת
סוג אירוע	שגיאה
מקור האירוע	Microsoft-Windows-Kerberos-Key-Distribution-Center
מזהה האירוע	38
טקסט אירוע	מרכז התפלגות המפתח (KDC) נתקל בכרטיס שהכיל מידע לא עקבי אודות החשבון שביקש את הכרטיס. משמעות הדבר עשויה להיות ששמו של החשבון השתנה מאז שהכרטיס הונפק, וייתכן שהוא מהווה חלק מניסיון ניצול לרעה. כרטיס PAC נבנה על-ידי: <שם Kdc> לקוח: <שם תחום>\<שם משתמש> כרטיס עבור: <שם שירות> מבקש SID של חשבון מ- Active Directory: <SID> מבקש SID של חשבון מכרטיס: <SID>

בעיות ידועות

תסמין	פתרון עוקף
לאחר התקנת עדכוני Windows שהופצו ב- 9 בנובמבר 2021 ואילך בבקרי תחום (DCs), לקוחות מסוימים עשויים לראות את מזהה אירוע הביקורת החדש 37 נרשם לאחר הגדרה מסוימת של סיסמה או שינוי פעולות כגון: עדכון או תיקון של CNO או VCO של אשכול מעבר לגיבוי בעת כשל איפוס סיסמת משתמש ממסוף משתמשים ומחשבים של Active Directory (dsa.msc) יצירת משתמש חדש ממסוף משתמשים ומחשבים של Active Directory (dsa.msc) שינוי סיסמה עבור מכשירים של ספקים חיצוניים המצורפים לתחום אם אינך רואה את מזהה האירוע 37 לאחר התקנת עדכוני Windows שהופצו ב- 9 בנובמבר 2021 ואילך במשך שבוע, ו- PacRequestorEnforcement הוא '1' או '2', הסביבה שלך אינה מושפעת. אם תגדיר PacRequestorEnforcement = 1, מזהה אירוע 37 יירשם בתור אזהרה, אך בקשות לשינוי סיסמה יצליחו ולא ישפיעו על המשתמשים. אם תגדיר PacRequestorEnforcement = 2, בקשות לשינוי סיסמה ייכשלו ויגרם גם לפעולות המפורטות לעיל להיכשל.	בעיה זו טופלה בעדכונים הבאים: Windows 11 - KB5011563 Windows Server 2022 - KB5011558 Windows 10, גירסה 20H2, Windows 10 21H1 ו- Windows 10, גירסה 21H2 - KB5011543 Windows 10, גירסה 1809 ו- Windows Server 2019 - KB5011551 Windows 10, גירסה 1607 ו- Windows Server 2016 - KB5012596 Windows Server 2012 R2 - KB5012670 Windows Server 2012 - KB5012666 Windows Server 2008 R2 - KB5012649 Windows Server 2008 SP2 - KB5012632

תסמין

פתרון עוקף

לאחר התקנת עדכוני Windows שהופצו ב- 9 בנובמבר 2021 ואילך בבקרי תחום (DCs), לקוחות מסוימים עשויים לראות את מזהה אירוע הביקורת החדש 37 נרשם לאחר הגדרה מסוימת של סיסמה או שינוי פעולות כגון:

עדכון או תיקון של CNO או VCO של אשכול מעבר לגיבוי בעת כשל
איפוס סיסמת משתמש ממסוף משתמשים ומחשבים של Active Directory (dsa.msc)
יצירת משתמש חדש ממסוף משתמשים ומחשבים של Active Directory (dsa.msc)
שינוי סיסמה עבור מכשירים של ספקים חיצוניים המצורפים לתחום

אם אינך רואה את מזהה האירוע 37 לאחר התקנת עדכוני Windows שהופצו ב- 9 בנובמבר 2021 ואילך במשך שבוע, ו- PacRequestorEnforcement הוא '1' או '2', הסביבה שלך אינה מושפעת.

אם תגדיר PacRequestorEnforcement = 1, מזהה אירוע 37 יירשם בתור אזהרה, אך בקשות לשינוי סיסמה יצליחו ולא ישפיעו על המשתמשים.

אם תגדיר PacRequestorEnforcement = 2, בקשות לשינוי סיסמה ייכשלו ויגרם גם לפעולות המפורטות לעיל להיכשל.

בעיה זו טופלה בעדכונים הבאים:

Windows 11 - KB5011563
Windows Server 2022 - KB5011558
Windows 10, גירסה 20H2, Windows 10 21H1 ו- Windows 10, גירסה 21H2 - KB5011543
Windows 10, גירסה 1809 ו- Windows Server 2019 - KB5011551
Windows 10, גירסה 1607 ו- Windows Server 2016 - KB5012596
Windows Server 2012 R2 - KB5012670
Windows Server 2012 - KB5012666
Windows Server 2008 R2 - KB5012649
Windows Server 2008 SP2 - KB5012632

שאלות נפוצות

Q1 מה קורה אם יש לי שילוב של בקרי תחום של Active Directory שמתעדכנים ולא מעודכנים?

A1 .ת.א.1. שילוב של בקרי תחום המעודכנים ולא מעודכנים, אך בעלי ערך מפתח הרישום של PacRequestorEnforcement המהווה ברירת מחדל של 1 תואם זה לזה. עם זאת, Microsoft ממליצה בחום מול בקרי תחום מעודכנים ולא מעודכנים בסביבה.

Q2 מה קורה אם יש לי שילוב של בקרי תחום של Active Directory שיש להם ערכי אכיפת PacRequestorEnforcement שונים?

A2 .ת'2. שילוב של בקרי תחום בעלי ערכי PacRequestorEnforcement של 0 ו- 1 תואמים זה לזה. שילוב של בקרי תחום בעלי ערכי PacRequestorEnforcement של 1 ו- 2 תואמים זה לזה. שילוב של בקרי תחום בעלי ערכי PacRequestorEnforcement של 0 ו- 2 אינם תואמים זה לזה ועלובים לגרום לכשלים לסירוגין. עיין בסעיף פרטי מפתח הרישום לקבלת פרטים נוספים.