AŽURIRANO 20. ožujka 2023. – odjeljak Dostupnost
Sažetak
Remote Protocol Distributed Component Object Model (DCOM) protokol je za izlaganje objekata aplikacije pomoću poziva udaljenih procedura (RPC-ova). DCOM se koristi za komunikaciju između softverskih komponenti mrežnih uređaja. Za CVE-2021-26414 potrebne su promjene u DCOM-u. Stoga preporučujemo da provjerite funkcioniraju li klijentske ili poslužiteljske aplikacije u vašem okruženju koje koriste DCOM ili RPC na očekivani način s omogućenim promjenama s otegavanjem.
Napomena Preporučujemo da instalirate najnovije dostupno sigurnosno ažuriranje. Pružaju naprednu zaštitu od najnovijih sigurnosnih prijetnji. Nude i mogućnosti koje smo dodali za podršku migraciji. Dodatne informacije i kontekst o tome kako očujete DCOM potražite u članku Očtravanje dcom provjere autentičnosti : ono što trebate znati.
Prva faza ažuriranja DCOM-a objavljena je 8. lipnja 2021. U tom ažuriranju DCOM stisne po zadanom je onemogućeno. Možete ih omogućiti tako da izmijenite registar na način opisan u odjeljku "Postavka registra za omogućivanje ili onemogućivanje promjena očnjavanja" u nastavku. Druga faza ažuriranja DCOM-a objavljena je 14. lipnja 2022. To je po zadanom promijenilo otegiranje na omogućeno, ali je zadržalo mogućnost onemogućivanja promjena pomoću postavki ključa registra. Konačna faza ažuriranja DCOM-a bit će objavljena u ožujku 2023. To će zadržati DCOM hardening omogućen i ukloniti mogućnost da ga onemogućiti.
Vremenska crta
|
Ažuriranje izdanja |
Promjena ponašanja |
|
8. lipnja 2021. |
1. faza izdanja – po zadanom je onemogućeno otegiranje promjena, ali uz mogućnost omogućivanja korištenja ključa registra. |
|
14. lipnja 2022. |
2. faza izdanja – promjene otečavanja omogućene prema zadanim postavkama, ali s mogućnosti onemogućivanja pomoću ključa registra. |
|
14. ožujka 2023. |
3. faza izdanja – promjene otežujućih promjena omogućene prema zadanim postavkama bez mogućnosti onemogućivanja. U tom trenutku morate riješiti sve probleme s kompatibilnošću s promjenama i aplikacijama koje očtenjuju u vašem okruženju. |
Testiranje kompatibilnosti s otegnujućim dcom
Novi DCOM događaji pogreške
Da bismo vam pomogli prepoznati aplikacije koje bi mogle imati problema s kompatibilnošću nakon što omogućimo dcom promjene sigurnosnog otežujućih promjena, dodali smo nove DCOM događaje pogreške u zapisniku sustava. Pogledajte tablice u nastavku. Sustav će evidentirati te događaje ako otkrije da DCOM klijentska aplikacija pokušava aktivirati DCOM poslužitelj pomoću razine provjere autentičnosti koja je manja od RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Klijentski uređaj možete pratiti iz zapisnika događaja na strani poslužitelja i pomoću klijentskih zapisnika događaja pronaći aplikaciju.
Događaji poslužitelja - Naznači da poslužitelj prima zahtjeve niže razine
|
ID događaja |
Poruku |
|---|---|
|
10036 |
"Pravilnik razine provjere autentičnosti na strani poslužitelja ne dopušta korisniku %1\%2 SID (%3) s adrese %4 da aktivira DCOM poslužitelj. Podignite razinu provjere autentičnosti aktivacije barem na RPC_C_AUTHN_LEVEL_PKT_INTEGRITY klijentskoj aplikaciji." (%1 – domena, %2 – korisničko ime, %3 – KORISNIČKI SID, %4 – IP adresa klijenta) |
Događaji klijenta – označava koja aplikacija šalje zahtjeve niže razine
|
ID događaja |
Poruku |
|---|---|
|
10037 |
"Aplikacija %1 s PID-om %2 zahtijeva aktivaciju CLSID-a %3 na računalu %4 s izričito postavljenom razinu provjere autentičnosti na %5. Najniža razina provjere autentičnosti aktivacije koju zahtijeva DCOM jest 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Da biste povisiti razinu provjere autentičnosti aktivacije, obratite se dobavljaču aplikacije." |
|
10038 |
"Aplikacija %1 s PID-om %2 zahtijeva aktivaciju CLSID-a %3 na računalu %4 sa zadanom provjerom autentičnosti aktivacije na %5. Najniža razina provjere autentičnosti aktivacije koju zahtijeva DCOM jest 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Da biste povisiti razinu provjere autentičnosti aktivacije, obratite se dobavljaču aplikacije." (%1 – put aplikacije, %2 – PID aplikacije, %3 – CLSID COM klase koju aplikacija zahtijeva za aktivaciju, %4 – Naziv računala, %5 – vrijednost razine provjere autentičnosti) |
Dostupnost
Ti su događaji pogreške dostupni samo za podskup verzija sustava Windows; pogledajte tablicu u nastavku.
|
Verzija sustava Windows |
Dostupno za ove datume ili nakon njih |
|---|---|
|
Windows Server 2022 |
27. rujna 2021. |
|
Windows 10, verzija 2004, Windows 10, verzija 20H2, Windows 10, verzija 21H1 |
1. rujna 2021. |
|
Verzija 1909 sustava Windows 10 |
26. kolovoza 2021. |
|
Windows Server 2019, Windows 10, verzija 1809 |
26. kolovoza 2021. |
|
Windows Server 2016, Windows 10, verzija 1607 |
14. rujna 2021. |
|
Windows Server 2012 R2 i Windows 8.1 |
12. listopada 2021. |
|
Windows 11, verzija 22H2 |
30. rujna 2022. |
Client-side request auto-elevation patch
Razina provjere autentičnosti za sve zahtjeve za aktivaciju koji nisu anonimni
Da bismo smanjili probleme s kompatibilnošću aplikacija, automatski smo uklonili razinu provjere autentičnosti za sve neautonimne zahtjeve za aktivaciju iz DCOM klijenata utemeljenih na sustavu Windows da bi se RPC_C_AUTHN_LEVEL_PKT_INTEGRITY minimalno. Uz tu će promjenu većina zahtjeva dcom klijenta utemeljenih na sustavu Windows automatski biti prihvaćena uz omogućene promjene DCOM očjenjivanja na strani poslužitelja bez daljnje izmjene DCOM klijenta. Osim toga, većina dcom klijenata sustava Windows automatski će raditi s DCOM otežujućim promjenama na strani poslužitelja bez daljnje izmjene DCOM klijenta.
Napomena Ova zakrpa i dalje će biti obuhvaćena kumulativnim ažuriranjima.
Vremenska crta ažuriranja zakrpa
Od početnog izdanja u studenom 2022., zakrpa za automatsko uzdigiranje imala je nekoliko ažuriranja.
-
Ažuriranje za studeni 2022.
-
Ovo ažuriranje automatski je podignuto razinu provjere autentičnosti aktivacije na integritet paketa. Ta je promjena po zadanom onemogućena u sustavima Windows Server 2016 i Windows server 2019.
-
-
Ažuriranje za prosinac 2022.
-
Promjena studenog po zadanom je omogućena za Windows Server 2016 i Windows Server 2019.
-
Ovo je ažuriranje riješeno i problem koji je utjecanje na anonimnu aktivaciju u sustavima Windows Server 2016 i Windows Server 2019.
-
-
Ažuriranje za siječanj 2023.
-
Ovim je ažuriranjem riješen problem koji je utjecao na anonimnu aktivaciju na platformama sa sustava Windows Server 2008 na Windows 10 (početna verzija izdana u srpnju 2015.).
-
Ako ste kumulativna sigurnosna ažuriranja instalirali od siječnja 2023. na klijente i poslužitelje, ona će imati potpuno omogućenu najnoviju zakrpu za automatsko uzdignuto.
Postavka registra da biste omogućili ili onemogućili promjene s otežujućim
Tijekom faza vremenske crte u kojima možete omogućiti ili onemogućiti promjene stišćivanja za CVE-2021-26414 možete koristiti sljedeći ključ registra:
-
Put: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Naziv vrijednosti: "RequireIntegrityActivationAuthenticationLevel"
-
Vrsta: dword
-
Podaci o vrijednosti: zadano= 0x00000000 znači onemogućeno. 0x00000001 znači omogućeno. Ako ta vrijednost nije definirana, zadana će biti omogućena.
Napomena Podatke vrijednosti morate unijeti u heksadecimalnom obliku.
Važno Uređaj morate ponovno pokrenuti nakon postavljanja ključa registra da bi stupio na snagu.
Napomena Ako omogućite gore navedeni ključ registra, DCOM poslužitelji nameću Authentication-Level ili RPC_C_AUTHN_LEVEL_PKT_INTEGRITY više za aktivaciju. To ne utječe na anonimnu aktivaciju (aktivacija pomoću razine provjere autentičnosti RPC_C_AUTHN_LEVEL_NONE). Ako DCOM poslužitelj dopušta anonimnu aktivaciju, i dalje će biti dopušten čak i kada su omogućene promjene dcom otegljivanja.
Napomena Ta vrijednost registra ne postoji po zadanom; morate ga stvoriti. Windows će je pročitati ako postoji i neće ga prebrisati.
Napomena Instalacija kasnijih ažuriranja neće mijenjati ni uklanjati postojeće unose i postavke registra.
