KB5021130: Come gestire le modifiche al protocollo Netlogon correlate a CVE-2022-38023

La fase di distribuzione iniziale inizia con gli aggiornamenti rilasciati l'8 novembre 2022 e continua con gli aggiornamenti di Windows successivi fino alla fase di applicazione. Gli aggiornamenti di Windows dell'8 novembre 2022 o successivamente alla vulnerabilità del bypass di sicurezza dell'indirizzo di CVE-2022-38023 sono stati installati applicando il sealing RPC in tutti i client Windows.

Per impostazione predefinita, i dispositivi vengono impostati in modalità compatibilità. I controller di dominio Windows richiedono che i client Netlogon usino il sigillo RPC se eseguono Windows o agiscono come controller di dominio o come account attendibili.

Gli aggiornamenti di Windows rilasciati dopo l'11 aprile 2023 non consentono di disabilitare il sealing RPC impostando il valore 0 sulla sottochiave RequireSeal del Registro di sistema.

La sottochiave del Registro di sistema RequireSeal verrà spostata nella modalità applicata, a meno che gli amministratori non si configurino esplicitamente in modalità compatibilità. Le connessioni vulnerabili da tutti i client, incluse le terze parti, verranno negate l'autenticazione. Vedere Modifica 1.

Gli aggiornamenti di Windows rilasciati l'11 luglio 2023 rimuoveranno la possibilità di impostare il valore 1 sulla sottochiave del Registro di sistema RequireSeal . In questo modo viene abilitata la fase di applicazione di CVE-2022-38023.

Se il messaggio di errore è presente nei registri eventi, è necessario eseguire le operazioni seguenti per risolvere l'errore di sistema:

• Verifica che il dispositivo esegua una versione supportata di Windows.

• Verifica che tutti i dispositivi siano aggiornati.

• Verificare che l'opzione Domain member: Domain member Digitally encrypt or sign secure channel data (always) sia impostata su Enabled .Check to sure that Domain member: Domain member Digitally encrypt or sign secure channel data (always) is set to Enabled .

Se si trova l'evento 5840, si tratta di un segno che un client nel dominio usa una crittografia debole.

Se si trova l'evento 5841, significa che il valore RejectMD5Clients è impostato su TRUE .

La chiave RejectMD5Clients è una chiave preesistente nel servizio Netlogon. Per altre informazioni, vedere la descrizione RejectMD5Clients del modello di dati astratti.

Tutti gli account computer aggiunti a un dominio sono interessati da questa CVE. Gli eventi mostreranno chi è più interessato da questo problema dopo l'installazione degli aggiornamenti di Windows dell'8 novembre 2022 o versione successiva. Per risolvere i problemi, consultare la sezione Errori del registro eventi .

Per rilevare client meno recenti che non usano la crittografia più avanzata disponibile, questo aggiornamento introduce i log eventi per i client che utilizzano RC4.

La firma RPC avviene quando il protocollo Netlogon usa RPC per firmare i messaggi inviati via cavo. Il sealing RPC avviene quando il protocollo Netlogon firma e crittografa i messaggi inviati via cavo.

Il controller di dominio di Windows determina se un client Netlogon esegue Windows eseguendo una query sull'attributo "OperatingSystem" in Active Directory per il client Netlogon e controllando le stringhe seguenti:

• "Windows", "Hyper-V Server" e "Azure Stack HCI"

Non è consigliabile né supportare la modifica di questo attributo da parte dei client Netlogon o degli amministratori di dominio in un valore non rappresentativo del sistema operativo (OS) in esecuzione dal client Netlogon. Tenere presente che microsoft potrebbe modificare i criteri di ricerca in qualsiasi momento. Vedere Modifica 3.

La fase di applicazione non rifiuta i client Netlogon in base al tipo di crittografia usato dai client. Rifiuterà i client Netlogon solo se eseguono la firma RPC anziché il sealing RPC. Il rifiuto dei client RC4 Netlogon si basa sulla chiave del Registro di sistema "RejectMd5Clients" disponibile per Windows Server 2008 R2 e versioni successive dei controller di dominio Windows. La fase di applicazione di questo aggiornamento non modifica il valore "RejectMd5Clients". È consigliabile che i clienti abilitino il valore "RejectMd5Clients" per una maggiore sicurezza dei loro domini. Vedere Modifica 3.

Advanced Encryption Standard (AES) è una crittografia a blocchi che sostituisce il DES (Data Encryption Standard). AES può essere utilizzato per proteggere i dati elettronici. L'algoritmo AES può essere usato per crittografare (decifrare) e decrittografare (decifrare) le informazioni. La crittografia converte i dati in una forma nontelligibile denominata testo crittografato; decrittografando il testo crittografato, i dati vengono convertiti nuovamente nella forma originale, denominata testo normale. AES viene usato nella crittografia a chiave simmetrica, ovvero la stessa chiave viene usata per le operazioni di crittografia e decrittografia. È anche un cifrario a blocchi, il che significa che opera su blocchi a dimensione fissa di testo normale e testo crittografato, e richiede che la dimensione del testo in chiaro e del testo crittografato sia un multiplo esatto di questa dimensione di blocco. AES è anche noto come algoritmo di crittografia simmetrica rijndael [FIPS197] .

In un ambiente di sicurezza di rete compatibile con sistema operativo Windows NT, il componente responsabile delle funzioni di sincronizzazione e manutenzione tra un controller di dominio primario (PDC) e controller di dominio di backup (BDC). Netlogon è un precursore del protocollo DRS (Directory Replication Server). L'interfaccia RPC (Remote Procedure Call) Netlogon Remote Protocol viene usata principalmente per mantenere la relazione tra un dispositivo e il relativo dominio e le relazioni tra controller di dominio e domini. Per altre informazioni, vedere Netlogon Remote Protocol.

RC4-HMAC (RC4) è un algoritmo di crittografia simmetrica di lunghezza chiave variabile. Per ulteriori informazioni, vedere la sezione 17.1 [SCHNEIER].

Una connessione RPC (Remote Procedure Call) autenticata tra due computer in un dominio con un contesto di sicurezza stabilito usato per firmare e crittografare i pacchetti RPC .