KB5008380 – ažuriranja za provjeru autentičnosti (CVE-2021-42287)

Sažetak

CVE-2021-42287 rješava sigurnosnu ranjivost zaobilaženje koja utječe na certifikat atributa Kerberos Privilege (PAC) i potencijalnim napadačima omogućuje oponašanje domenskih kontrolera. Da biste iskoristili tu ranjivost, ugroženi račun domene može uzrokovati da KDC (Key Distribution Center) stvori servisni list s višom razinu privilegija od razine ugroženog računa. To se postiže tako što sprječava KDC da prepozna za koji je račun zahtjev za uslugu više privilegije.

Poboljšani postupak provjere autentičnosti u CVE-2021-42287 dodaje nove informacije o izvornom podnositelju zahtjeva PAC-ima tvrtke Kerberos Ticket-Granting Tickets (TGT). Kada se za račun generira servisna etiketa Kerberos, novi će postupak provjere autentičnosti provjeriti je li račun koji je zatražio TGT isti račun na koji se poziva servisna etiketa.

Nakon instalacije ažuriranja sustava Windows od 9. studenog 2021. ili novije, PAC-ovi će se dodati U TGT svih računa domene, čak i onih koji su prethodno odlučili odbiti PC-jeve.

Akcija

Da biste zaštitili svoje okruženje i izbjegli prekide rada, učinite sljedeće:

Ažurirajte sve uređaje na kojima se hostira uloga kontrolora domene Active Directory instaliranjem sigurnosnog ažuriranja od 9. studenog 2021. i ažuriranja od 14. studenog 2021. izvan područja (OOB). U nastavku pronađite OOB KB broj za određeni OPERACIJSKI sustav.

OS	Broj članka u bazi znanja
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Nakon instalacije sigurnosnog ažuriranja od 9. studenog 2021. i ažuriranja OOB-a od 14. studenoga 2021. na svim kontrolorima domena servisa Active Directory najmanje 7 dana, preporučujemo da omogućite način provođenja na svim domenskih kontrolera servisa Active Directory.
Počevši od ažuriranja faze provođenja od 11. listopada 2022., način provođenja omogućit će se na svim domenski kontrolerima sustava Windows i bit će potreban.

Tempiranje ažuriranja sustava Windows – (ažurirano 31. 1. 23.)

Ti će Ažuriranja sustava Windows biti objavljeni u tri faze:

Početna implementacija – uvod u ažuriranje, kao i ključ registra PacRequestorEnforcement
Druga implementacija – uklanjanje pacRequestorEnforcement vrijednosti 0 (mogućnost onemogućivanja ključa registra)
Faza provođenja – način provođenja je omogućen. Ova faza amortizira tipku PacRequestorEnforcement i više je ne čita

9. studenog 2021.: početna faza implementacije

Početna faza implementacije započinje ažuriranjem sustava Windows izdanim 9. studenog 2021. Ovo izdanje:

Dodaje zaštite od CVE-2021-42287
Dodaje podršku za vrijednost registra PacRequestorEnforcement , što vam omogućuje da prijeđite na fazu provođenja ranije

Ublažavanje se sastoji od instalacije ažuriranja sustava Windows na svim uređajima na kojima se nalazi uloga kontrolera domene i domenski kontroleri samo za čitanje (RODC-ovi).

12. srpnja 2022.: druga faza implementacije

Druga faza implementacije započinje ažuriranjem sustava Windows izdanim 12. srpnja 2022. Ova faza uklanja postavku PacRequestorEnforcement broja 0. Postavljanje PacRequestorEnforcement na 0 nakon instalacije ovog ažuriranja ima isti učinak kao i postavljanje pacRequestorEnforcement na 1. Domenski kontroleri (DC- ovi) bit će u načinu implementacije.

Napomena Ta faza nije potrebna ako PacRequestorEnforcement nikada nije postavljen na 0 u vašem okruženju. Ova faza pomaže osigurati da se korisnici koji su postavili PacRequestorEnforcement na 0pomaknu na postavljanje 1 prije faze provođenja.

Napomena Ovo ažuriranje pretpostavlja da su svi domenski kontroleri ažurirani ažuriranjem sustava Windows od 9. studenog 2021. ili novijim.

11. listopada 2022.: faza provedbe – (ažurirano 31. 1. 2023.)

Izdanje od 11. listopada 2022. pretvorit će sve kontrolore domene servisa Active Directory u fazu provođenja. Faza provođenja skraćuje ključ PacRequestorEnforcement i više ga ne čita. Zbog toga domenski kontroleri sustava Windows koji su instalirali ažuriranje od 11. listopada 2022. više neće biti kompatibilni sa:

Domenski kontroleri koji nisu instalirali ažuriranja od 9. studenog 2021. ili novija.
Domenski kontroleri koji su instalirali ažuriranja od 9. studenog 2021. ili novija, ali još nisu instalirali ažuriranje od 12. srpnja 2022. i koji imaju vrijednost registra PacRequestorEnforcement od 0.

No domenski kontroleri sustava Windows koji su instalirali ažuriranje od 11. listopada 2022. i dalje će biti kompatibilni sa:

Domenski kontroleri sustava Windows koji su instalirali ažuriranja od 11. listopada 2022. ili novija
Domenski kontroleri prozora koji su instalirali ažuriranja^{od 9.} studenog 2021. ili novija i imaju vrijednost PacRequestorEnforcement ili 1 ili 2

Informacije o ključu registra

Nakon instalacije zaštite CVE-2021-42287 u ažuriranjima sustava Windows objavljenima između 9. studenog 2021. i 14. lipnja 2022., bit će dostupan sljedeći ključ registra:

Potključ registra	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Vrijednost	PacRequestorEnforcement
Vrsta podataka	REG_DWORD
Podaci	1: Dodajte novi PAC korisnicima koji su provjerili autentičnost pomoću domenskog kontrolera servisa Active Directory s instaliranim ažuriranjima od 9. studenog 2021. ili novijim. Prilikom provjere autentičnosti, ako korisnik ima novi PAC, provjerava se valjanost PAC-a. Ako korisnik nema novi PAC, ne poduzima se nikakva dodatna radnja. Domenski kontroleri servisa Active Directory u ovom načinu rada nalaze se u fazi implementacije. 2: Dodajte novi PAC korisnicima koji su provjerili autentičnost pomoću domenskog kontrolera servisa Active Directory s instaliranim ažuriranjima od 9. studenog 2021. ili novijim. Prilikom provjere autentičnosti, ako korisnik ima novi PAC, provjerava se valjanost PAC-a. Ako korisnik nema novi PAC, provjera autentičnosti je odbijena. Domenski kontroleri servisa Active Directory u ovom načinu rada nalaze se u fazi provođenja. 0: Onemogućuje ključ registra. Ne preporučuje se. Domenski kontroleri servisa Active Directory u ovom načinu rada nalaze se u fazi Onemogućeno. Ta vrijednost neće postojati nakon ažuriranja od 12. srpnja 2022. ili novije verzije. Važno Postavka 0 nije kompatibilna s postavkom 2. Povreeni kvarovi mogu se pojaviti ako se obje postavke koriste unutar šume. Ako se koristi postavka 0, preporučujemo da prije prelaska na postavku 0 (Onemogući) postavite 1 (Implementacija) najmanje tjedan dana prije prelaska na postavku 2 (način provođenja).
Zadano	1 (kada ključ registra nije postavljen)
Je li potrebno ponovno pokretanje?	Ne

Događaji nadzora

Ažuriranje sustava Windows od 9. studenog 2021. dodat će i nove zapisnike događaja.

PAC bez atributa

KDC nailazi na TGT bez međuspremnika atributa PAC. Vjerojatno drugi KDC u zapisnicima ne sadrži ažuriranje ili je u onemogućenom načinu rada.

Zapisnik događaja	Sustav
Vrsta događaja	Upozorenje
Izvor događaja	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID događaja	35
Tekst događaja	Centar za raspodjelu ključeva (KDC) naišao je na zahtjev za izdavanje ulaznica (TGT) iz drugog KDC-a ("<KDC name>") koji ne sadrži polje ATRIBUTA PAC.

Ulaznica bez PAC-a

KDC nailazi na TGT ili drugu dokaznu kartu bez PAC-a. Time se KDC-u onemogunjuje nametanje sigurnosnih provjera ulaznice.

Zapisnik događaja	Sustav
Vrsta događaja	Upozorenje tijekom faze implementacije Pogreška tijekom faze provođenja
Izvor događaja	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID događaja	36
Tekst događaja	Centar za raspodjelu ključeva (KDC) naišao je na kartu koja ne sadrži PAC tijekom obrade zahtjeva za drugu prijavu. To je spriječilo pokretanje sigurnosnih provjera i moglo je otvoriti sigurnosne slabe točke. Klijent: <naziv domene>\<korisničko ime> Ulaznica za: <naziv servisa>

Ulaznica bez podnositelja zahtjeva

KDC naiđe na TGT ili drugu dokaznu kartu bez međuspremnika PAC Requestor. Vjerojatno KDC koji je konstruiran PAC ne sadrži ažuriranje ili je u onemogućenom načinu rada.

Napomena Važne informacije o događaju 37 potražite u odjeljku Poznati problemi.

Zapisnik događaja	Sustav
Vrsta događaja	Upozorenje tijekom faze implementacije Pogreška tijekom faze provođenja
Izvor događaja	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID događaja	37
Tekst događaja	Centar za raspodjelu ključeva (KDC) naišao je na kartu koja ne sadrži informacije o računu koji je zatražio zahtjev za ulaznicu tijekom obrade zahtjeva za drugu prijavu. To je spriječilo pokretanje sigurnosnih provjera i moglo je otvoriti sigurnosne slabe točke. Ticket PAC konstruiran od strane: <KDC name> Klijent: <naziv domene>\<naziv klijenta> Ulaznica za: <naziv servisa>

Nepodudaranje podnositelja zahtjeva

KDC naiđe na TGT ili drugu dokaznu kartu, a račun koji je zatražio TGT ili dokaznu kartu ne odgovara računu za koji je ugrađena servisna etiketa.

Zapisnik događaja	Sustav
Vrsta događaja	Pogreška
Izvor događaja	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID događaja	38
Tekst događaja	Centar za raspodjelu ključeva (KDC) naišao je na kartu koja sadrži nedosljedne informacije o računu koji je zatražio prijavu. To može značiti da je račun preimenovana nakon izdavanja ulaznice, što je možda bilo dio pokušaja iskorištavanja. Ticket PAC konstruiran od strane: <Kdc Name> Klijent: <naziv domene>\<korisničko ime> Ulaznica za: <naziv servisa> Zahtijevanje SID-a računa iz servisa Active Directory: <SID> Zahtjev za SID računa od ulaznice: <SID>

Poznati problemi

Simptom	Zaobilazno rješenje
Nakon instalacije ažuriranja sustava Windows objavljenih 9. studenog 2021. ili novije verzije na domenske kontrolere (DC-ove), neki korisnici mogu vidjeti novi ID događaja nadzora 37 zabilježen nakon određene postavke lozinke ili promjena operacija kao što su: Ažuriranje ili popravak CNO ili VCO klastera za prebacivanje u slučaju pogreške Ponovno postavljanje korisnikove lozinke s konzole Active Directory Users and Computers (dsa.msc) Stvaranje novog korisnika s konzole Active Directory Users and Computers (dsa.msc) Promjena lozinke za uređaje pridružene domeni treće strane Ako ne vidite ID događaja 37 nakon instalacije ažuriranja sustava Windows objavljenih 9. studenog 2021. ili novije na tjedan dana, a PacRequestorEnforcement je "1" ili "2", to neće utjecati na vaše okruženje. Ako postavite PacRequestorEnforcement = 1, ID događaja 37 bilježi se kao upozorenje, ali zahtjevi za promjenom lozinke uspjeti će i neće utjecati na korisnike. Ako postavite PacRequestorEnforcement = 2, zahtjevi za promjenom lozinke neće uspjeti i uzrokovat će i neuspjeh prethodno navedenih operacija.	Taj je problem riješen u sljedećim ažuriranjima: Windows 11 – KB5011563 Windows Server 2022 – KB5011558 Windows 10, verzija 20H2, Windows 10 verzija 21H1 i Windows 10, verzija 21H2 – KB5011543 Windows 10, verzija 1809 i Windows Server 2019 – KB5011551 Windows 10, verzija 1607 i Windows Server 2016 – KB5012596 Windows Server 2012 R2 – KB5012670 Windows Server 2012 – KB5012666 Windows Server 2008 R2 – KB5012649 Windows Server 2008 SP2 – KB5012632

Simptom

Zaobilazno rješenje

Nakon instalacije ažuriranja sustava Windows objavljenih 9. studenog 2021. ili novije verzije na domenske kontrolere (DC-ove), neki korisnici mogu vidjeti novi ID događaja nadzora 37 zabilježen nakon određene postavke lozinke ili promjena operacija kao što su:

Ažuriranje ili popravak CNO ili VCO klastera za prebacivanje u slučaju pogreške
Ponovno postavljanje korisnikove lozinke s konzole Active Directory Users and Computers (dsa.msc)
Stvaranje novog korisnika s konzole Active Directory Users and Computers (dsa.msc)
Promjena lozinke za uređaje pridružene domeni treće strane

Ako ne vidite ID događaja 37 nakon instalacije ažuriranja sustava Windows objavljenih 9. studenog 2021. ili novije na tjedan dana, a PacRequestorEnforcement je "1" ili "2", to neće utjecati na vaše okruženje.

Ako postavite PacRequestorEnforcement = 1, ID događaja 37 bilježi se kao upozorenje, ali zahtjevi za promjenom lozinke uspjeti će i neće utjecati na korisnike.

Ako postavite PacRequestorEnforcement = 2, zahtjevi za promjenom lozinke neće uspjeti i uzrokovat će i neuspjeh prethodno navedenih operacija.

Taj je problem riješen u sljedećim ažuriranjima:

Windows 11 – KB5011563
Windows Server 2022 – KB5011558
Windows 10, verzija 20H2, Windows 10 verzija 21H1 i Windows 10, verzija 21H2 – KB5011543
Windows 10, verzija 1809 i Windows Server 2019 – KB5011551
Windows 10, verzija 1607 i Windows Server 2016 – KB5012596
Windows Server 2012 R2 – KB5012670
Windows Server 2012 – KB5012666
Windows Server 2008 R2 – KB5012649
Windows Server 2008 SP2 – KB5012632

Najčešća pitanja

P1 Što se događa ako imam mješavinu domenskog kontrolera servisa Active Directory koji su ažurirani i nisu ažurirani?

A1. (A1). Mješavina domenskih kontrolera koji se ažuriraju i ne ažuriraju, ali imaju zadanu vrijednost ključa registra PacRequestorEnforcement od 1 međusobno su kompatibilne. No Microsoft vam svakako preporučuje da ne koristite domenski kontroler koji se ažuriraju i ne ažuriraju u okruženju.

Q2 Što se događa ako imam mješavinu domenskih kontrolera servisa Active Directory s različitim vrijednostima PacRequestorEnforcement?

A2. (A2). Mješavina domenskih kontrolera koji imaju pacRequestorEnforcement vrijednosti 0 i 1 kompatibilne su jedna s drugom. Mješavina domenskih kontrolera koji imaju pacRequestorEnforcement vrijednosti 1 i 2 kompatibilne su jedna s drugom. Mješavina domenskih kontrolera koji imaju vrijednosti PacRequestorEnforcement 0 i 2 nisu međusobno kompatibilne i mogu uzrokovati povremene kvarove. Dodatne informacije potražite u odjeljku Informacije o ključu registra.