KB5008380—Pembaruan autentikasi (CVE-2021-42287)

Rangkuman

CVE-2021-42287 membahas kerentanan bypass keamanan yang mempengaruhi Sertifikat Atribut Hak Istimewa (PAC) Kerberos dan memungkinkan penyerang potensial untuk meniru pengontrol domain. Untuk memanfaatkan kerentanan ini, akun domain yang disusupi mungkin menyebabkan Key Distribution Center (KDC) membuat tiket layanan dengan tingkat hak istimewa yang lebih tinggi daripada akun yang disusupi. Ini menyelesaikan ini dengan mencegah KDC mengidentifikasi akun mana tiket layanan hak istimewa yang lebih tinggi.

Proses autentikasi yang disempurnakan dalam CVE-2021-42287 menambahkan informasi baru tentang permintaan asli ke PACs of Kerberos Ticket-Granting Tickets (TGT). Nantinya, ketika tiket layanan Kerberos dibuat untuk sebuah akun, proses autentikasi baru akan memverifikasi bahwa akun yang meminta TGT adalah akun yang sama yang dirujuk dalam tiket layanan.

Setelah menginstal pembaruan Windows tertanggal 9 November 2021 atau yang lebih baru, PAC akan ditambahkan ke TGT dari semua akun domain, bahkan yang sebelumnya memilih untuk menolak PAC.

Ambil tindakan

Untuk melindungi lingkungan Anda dan menghindari pemadaman, selesaikan langkah-langkah berikut:

Perbarui semua perangkat yang menghosting peran pengontrol domain Direktori Aktif dengan menginstal pembaruan keamanan 9 November 2021 dan pembaruan out-of-band (OOB) 14 November 2021. Temukan nomor KB OOB untuk OS tertentu di bawah ini.

OS	Nomor KB
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Setelah menginstal pembaruan keamanan 9 November 2021 dan pembaruan OOB 14 November 2021 di semua pengontrol domain Direktori Aktif setidaknya selama 7 hari, kami sangat menyarankan agar Anda mengaktifkan mode Penegakan pada semua pengontrol domain Direktori Aktif.
Dimulai dengan pembaruan Fase Penegakan (diperbarui) 11 Oktober 2022, mode Penegakan akan diaktifkan di semua pengontrol domain Windows dan akan diperlukan.

Pengaturan waktu pembaruan Windows - (Diperbarui 31/1/23)

Updates Windows ini akan dirilis dalam tiga fase:

Penyebaran awal – Pengenalan pembaruan, serta kunci registri PacRequestorEnforcement
Penyebaran kedua – Penghapusan nilai PacRequestorEnforcement 0 (kemampuan untuk menonaktifkan kunci registri)
Tahap penerapan – Mode penerapan diaktifkan. Fase ini menghentikan kunci PacRequestorEnforcement dan tidak lagi membacanya

9 November 2021: Fase penyebaran awal

Fase penyebaran awal dimulai dengan pembaruan Windows yang dirilis pada 9 November 2021. Rilis ini:

Menambahkan perlindungan terhadap CVE-2021-42287
Menambahkan dukungan untuk nilai registri PacRequestorEnforcement , yang memungkinkan Anda untuk bertransisi ke fase Penerapan lebih awal

Mitigation terdiri dari penginstalan pembaruan Windows di semua perangkat yang menghosting peran pengontrol domain dan pengontrol domain baca-saja (RODCs).

12 Juli 2022: Tahap penyebaran kedua

Fase penyebaran kedua dimulai dengan pembaruan Windows yang dirilis pada 12 Juli 2022. Fase ini menghapus pengaturan PacRequestorEnforcement 0. Mengatur PacRequestorEnforcement ke 0 setelah pembaruan ini diinstal akan memiliki efek yang sama seperti mengatur PacRequestorEnforcement ke 1. Pengontrol domain (DC) akan berada dalam mode Penyebaran.

Catatan Fase ini tidak diperlukan jika PacRequestorEnforcement tidak pernah diatur ke 0 di lingkungan Anda. Fase ini membantu memastikan bahwa pelanggan yang mengatur PacRequestorEnforcement ke 0berpindah ke pengaturan 1 sebelum tahap Penerapan.

Catatan Pembaruan ini mengasumsikan bahwa semua pengontrol domain diperbarui dengan pembaruan Windows 9 November 2021 atau yang lebih baru.

11 Oktober 2022: Fase penerapan - (Diperbarui 31/1/23)

Rilis 11 Oktober 2022 akan memindahkan semua pengontrol domain Direktori Aktif ke dalam fase Penerapan. Fase Penegakan menghentikan kunci PacRequestorEnforcement dan tidak lagi membacanya. Sebagai hasilnya, pengontrol domain Windows yang telah menginstal pembaruan 11 Oktober 2022 tidak akan kompatibel lagi dengan:

Pengontrol domain yang tidak menginstal pembaruan 9 November 2021 atau yang lebih baru.
Pengontrol domain yang menginstal pembaruan 9 November 2021 atau yang lebih baru tetapi belum menginstal pembaruan 12 Juli 2022 dan yang memiliki nilai registri PacRequestorEnforcement 0.

Namun, pengontrol domain Windows yang telah menginstal pembaruan 11 Oktober 2022 akan tetap kompatibel dengan:

Pengontrol domain Windows yang telah menginstal pembaruan 11 Oktober 2022 atau yang lebih baru
Pengontrol domain jendela yang telah menginstal^{pembaruan 9 November} 2021 atau yang lebih baru dan memiliki nilai PacRequestorEnforcement atau 1 atau 2

Informasi kunci registri

Setelah menginstal perlindungan CVE-2021-42287 di pembaruan Windows yang dirilis antara 9 November 2021 dan 14 Juni 2022, kunci registri berikut akan tersedia:

Subkey registri	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Nilai	PacRequestorEnforcement
Tipe data	REG_DWORD
Data	1: Tambahkan PAC baru ke pengguna yang diautentikasi menggunakan pengontrol domain Direktori Aktif yang menginstal pembaruan 9 November 2021 atau yang lebih baru. Saat mengautentikasi, jika pengguna memiliki PAC baru, PAC akan divalidasi. Jika pengguna tidak memiliki PAC baru, tidak ada tindakan lebih lanjut yang dilakukan. Pengontrol domain Direktori Aktif dalam mode ini berada dalam fase Penyebaran. 2: Tambahkan PAC baru ke pengguna yang diautentikasi menggunakan pengontrol domain Direktori Aktif yang menginstal pembaruan 9 November 2021 atau yang lebih baru. Saat mengautentikasi, jika pengguna memiliki PAC baru, PAC akan divalidasi. Jika pengguna tidak memiliki PAC baru, autentikasi ditolak. Pengontrol domain Direktori Aktif dalam mode ini berada dalam fase Penerapan. 0: Menonaktifkan kunci registri. Tidak disarankan. Pengontrol domain Direktori Aktif dalam mode ini berada dalam fase Nonaktif. Nilai ini tidak akan ada setelah pembaruan 12 Juli 2022 atau yang lebih baru. Penting Pengaturan 0 tidak kompatibel dengan pengaturan 2. Kegagalan berselang-seling mungkin terjadi jika kedua pengaturan digunakan di dalam hutan. Jika pengaturan 0 digunakan, kami menyarankan agar Anda melakukan transisi pengaturan 0 (Nonaktifkan) untuk mengatur 1 (Penyebaran) setidaknya selama seminggu sebelum berpindah ke pengaturan 2 (Mode penerapan).
Default	1 (ketika kunci registri tidak diatur)
Apakah perlu memulai ulang?	Tidak

Mengaudit Kejadian

Pembaruan Windows 9 November 2021 juga akan menambahkan log kejadian baru.

PAC tanpa atribut

KDC menemukan TGT tanpa buffer Atribut PAC. Kemungkinan bahwa KDC lain dalam log tidak berisi pembaruan atau berada dalam mode Nonaktif.

Log Kejadian	Sistem
Tipe Kejadian	Peringatan
Sumber Kejadian	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID Kejadian	35
Teks Acara	Key Distribution Center (KDC) mengalami tiket pemberian tiket (TGT) dari KDC lain ("<> Nama KDC") yang tidak berisi bidang atribut PAC.

Tiket tanpa PAC

KDC menemukan TGT atau tiket bukti lainnya tanpa PAC. Hal ini mencegah KDC memberlakukan pemeriksaan keamanan pada tiket.

Log Kejadian	Sistem
Tipe Kejadian	Peringatan selama Fase Penyebaran Kesalahan selama Fase Penerapan
Sumber Kejadian	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID Kejadian	36
Teks Acara	Key Distribution Center (KDC) menemukan tiket yang tidak berisi PAC saat memproses permintaan tiket lain. Hal ini mencegah pemeriksaan keamanan berjalan dan dapat membuka kerentanan keamanan. Klien: <Nama Domain>\<Nama Pengguna> Tiket untuk: <Nama Layanan>

Tiket tanpa Pemohon

KDC menemukan TGT atau tiket bukti lainnya tanpa buffer Permintaan PAC. Kemungkinan bahwa KDC yang membangun PAC tidak berisi pembaruan atau berada dalam mode Dinonaktifkan.

Catatan Lihat bagian Masalah umum untuk informasi penting tentang Acara 37.

Log Kejadian	Sistem
Tipe Kejadian	Peringatan selama Fase Penyebaran Kesalahan selama Fase Penerapan
Sumber Kejadian	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID Kejadian	37
Teks Acara	Key Distribution Center (KDC) menemukan tiket yang tidak berisi informasi tentang akun yang meminta tiket saat memproses permintaan tiket lain. Hal ini mencegah pemeriksaan keamanan berjalan dan dapat membuka kerentanan keamanan. Tiket PAC dibuat oleh: <nama KDC> Klien: <Nama Domain>\<> Nama Klien Tiket untuk: <Nama Layanan>

Ketidakcocokan Pemohon

KDC menemukan TGT atau tiket bukti lainnya, dan akun yang meminta TGT atau tiket bukti tidak cocok dengan akun tempat tiket layanan dibuat.

Log Kejadian	Sistem
Tipe Kejadian	Kesalahan
Sumber Kejadian	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID Kejadian	38
Teks Acara	Key Distribution Center (KDC) menemukan tiket yang berisi informasi tidak konsisten tentang akun yang meminta tiket. Ini bisa berarti bahwa akun telah diganti namanya sejak tiket diterbitkan, yang mungkin telah menjadi bagian dari percobaan eksploitasi. Ticket PAC dibangun oleh: <Kdc Name> Klien: <Nama Domain>\<Nama Pengguna> Tiket untuk: <Nama Layanan> Meminta SID Akun dari Direktori Aktif: <> SID Meminta SID Akun dari Tiket: <SID>

Masalah umum

Gangguan	Solusi:
Setelah menginstal pembaruan Windows yang dirilis 9 November 2021 atau yang lebih baru pada pengontrol domain (DC), beberapa pelanggan mungkin melihat audit Kejadian ID 37 baru dicatat setelah pengaturan kata sandi tertentu atau mengubah operasi seperti: Memperbarui atau Memperbaiki CNO atau VCO kluster failover Mengatur ulang kata sandi pengguna dari konsol Pengguna dan Komputer Direktori Aktif (dsa.msc) Membuat pengguna baru dari konsol Pengguna dan Komputer Direktori Aktif (dsa.msc) Mengubah kata sandi untuk perangkat pihak ketiga yang digabungkan dengan domain Jika Anda tidak melihat EVENT ID 37 setelah menginstal pembaruan Windows yang dirilis 9 November 2021 atau yang lebih baru selama seminggu dan PacRequestorEnforcement adalah '1' atau '2', maka lingkungan Anda tidak terpengaruh. Jika Anda mengatur PacRequestorEnforcement = 1, ID Kejadian 37 dicatat sebagai peringatan, tetapi permintaan perubahan kata sandi akan berhasil dan tidak akan memengaruhi pengguna. Jika Anda mengatur PacRequestorEnforcement = 2, permintaan perubahan kata sandi akan gagal dan akan menyebabkan operasi yang tercantum di atas juga gagal.	Masalah ini telah diatasi dalam pembaruan berikut: Windows 11 - KB5011563 Windows Server 2022 - KB5011558 Windows 10, versi 20H2, Windows 10 versi 21H1, dan Windows 10, versi 21H2 - KB5011543 Windows 10, versi 1809 dan Windows Server 2019 - KB5011551 Windows 10, versi 1607 dan Windows Server 2016 - KB5012596 Windows Server 2012 R2 - KB5012670 Windows Server 2012 - KB5012666 Windows Server 2008 R2 - KB5012649 Windows Server 2008 SP2 - KB5012632

Gangguan

Solusi:

Setelah menginstal pembaruan Windows yang dirilis 9 November 2021 atau yang lebih baru pada pengontrol domain (DC), beberapa pelanggan mungkin melihat audit Kejadian ID 37 baru dicatat setelah pengaturan kata sandi tertentu atau mengubah operasi seperti:

Memperbarui atau Memperbaiki CNO atau VCO kluster failover
Mengatur ulang kata sandi pengguna dari konsol Pengguna dan Komputer Direktori Aktif (dsa.msc)
Membuat pengguna baru dari konsol Pengguna dan Komputer Direktori Aktif (dsa.msc)
Mengubah kata sandi untuk perangkat pihak ketiga yang digabungkan dengan domain

Jika Anda tidak melihat EVENT ID 37 setelah menginstal pembaruan Windows yang dirilis 9 November 2021 atau yang lebih baru selama seminggu dan PacRequestorEnforcement adalah '1' atau '2', maka lingkungan Anda tidak terpengaruh.

Jika Anda mengatur PacRequestorEnforcement = 1, ID Kejadian 37 dicatat sebagai peringatan, tetapi permintaan perubahan kata sandi akan berhasil dan tidak akan memengaruhi pengguna.

Jika Anda mengatur PacRequestorEnforcement = 2, permintaan perubahan kata sandi akan gagal dan akan menyebabkan operasi yang tercantum di atas juga gagal.

Masalah ini telah diatasi dalam pembaruan berikut:

Windows 11 - KB5011563
Windows Server 2022 - KB5011558
Windows 10, versi 20H2, Windows 10 versi 21H1, dan Windows 10, versi 21H2 - KB5011543
Windows 10, versi 1809 dan Windows Server 2019 - KB5011551
Windows 10, versi 1607 dan Windows Server 2016 - KB5012596
Windows Server 2012 R2 - KB5012670
Windows Server 2012 - KB5012666
Windows Server 2008 R2 - KB5012649
Windows Server 2008 SP2 - KB5012632

Pertanyaan umum

Q1 Apa yang terjadi jika saya memiliki campuran pengontrol domain Direktori Aktif yang diperbarui dan tidak diperbarui?

A1. Campuran pengontrol domain yang diperbarui dan tidak diperbarui tetapi memiliki nilai kunci registri PacRequestorEnforcement default 1 kompatibel satu sama lain. Namun, Microsoft sangat menyarankan untuk tidak memiliki pengontrol domain yang diperbarui dan tidak diperbarui dalam lingkungan.

T2 Apa yang terjadi jika saya memiliki campuran pengontrol domain Direktori Aktif yang memiliki berbagai nilai PacRequestorEnforcement?

A2. Campuran pengontrol domain yang memiliki nilai PacRequestorEnforcement 0 dan 1 kompatibel satu sama lain. Campuran pengontrol domain yang memiliki nilai PacRequestorEnforcement 1 dan 2 kompatibel satu sama lain. Campuran pengontrol domain yang memiliki nilai PacRequestorEnforcement 0 dan 2 tidak kompatibel satu sama lain dan mungkin menyebabkan kegagalan intermiten. Silakan lihat bagian Informasi kunci Registri untuk detail selengkapnya.