KB5008380—인증 업데이트(CVE-2021-42287)

요약

CVE-2021-42287은 PAC(Kerberos Privilege Attribute Certificate)에 영향을 주는 보안 우회 취약성을 해결하고 잠재적 공격자가 도메인 컨트롤러를 가장할 수 있습니다. 이 취약성을 악용하려면 손상된 도메인 계정으로 인해 KDC (Key Distribution Center)가 손상된 계정보다 높은 권한 수준으로 서비스 티켓을 만들 수 있습니다. KDC가 더 높은 권한 서비스 티켓의 계정을 식별하지 못하게 하여 이 작업을 수행합니다.

CVE-2021-42287의 향상된 인증 프로세스는 원래 요청자에 대한 새로운 정보를 Kerberos Ticket-Granting 티켓 (TGT)의 PAC에 추가합니다. 나중에 계정에 대해 Kerberos 서비스 티켓이 생성될 때 새 인증 프로세스에서 TGT를 요청한 계정이 서비스 티켓에서 참조된 계정과 동일한지 확인할 수 있습니다.

2021년 11월 9일 이후의 업데이트가 Windows 설치한 후 이전에 PAC를 거부하기로 선택한 모든 도메인 계정의 TGT에 PAC가 추가됩니다.

조치 취하기

환경을 보호하고 정전을 방지하기 위해 다음 단계를 완료하세요:

2021년 11월 9일 보안 업데이트 및 2021년 11월 14일 OOB(대역외) 업데이트를 설치하여 Active Directory 도메인 컨트롤러 역할을 호스팅하는 모든 장치를 업데이트합니다. 아래에서 특정 OS용 OOB KB 번호를 찾습니다.

OS	KB 번호
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

모든 Active Directory 도메인 컨트롤러에 2021년 11월 9일 보안 업데이트 및 2021년 11월 14일 OOB 업데이트를 설치한 후 최소 7일 동안 모든 Active Directory 도메인 컨트롤러에서 적용 모드를 사용하는 것이 좋습니다.
(업데이트된) 2022년 10월 11일 적용 단계 업데이트부터 적용 모드가 모든 Windows 도메인 컨트롤러에서 사용되고 필요합니다.

Windows 업데이트 시기

이러한 Windows 업데이트는 다음 세 단계로 릴리스됩니다:

초기 배포 – 업데이트 소개 및 PacRequestorEnforcement 레지스트리 키
두 번째 배포 - PacRequestorEnforcement 값 0 제거 (레지스트리 키를 사용하지 않도록 설정하는 능력)
적용 단계 – 적용 모드가 사용하도록 설정되어 있습니다. PacRequestorEnforcement 레지스트리 키 제거

2021년 11월 9일: 초기 배포 단계

두 번째 배포 단계는 2021년 11월 9일에 릴리스된 Windows 업데이트로 시작됩니다. 이 릴리스는 다음과 같습니다:

CVE-2021-42287에 대한 보호 추가
PacRequestorEnforcement 레지스트리 값에 대한 지원을 추가하여 적용 단계로 일찍 전환할 수 있습니다.

완화는 도메인 컨트롤러 Windows 로드 전용 도메인 컨트롤러 (RODC)를 호스트하는 모든 디바이스에 업데이트가 설치되는 것으로 구성됩니다.

(업데이트됨) 2022년 7월 12일: 두 번째 배포 단계

두 번째 배포 단계는 2022년 7월 12일에 릴리스된 Windows 업데이트로 시작됩니다. 이 단계에서는 PacRequestorEnforcement 설정 0을 제거합니다. 이 업데이트가 설치된 후 PacRequestorEnforcement를 0으로 설정하면 PacRequestorEnforcement를 1로 설정하는 것과 동일한 효과가 있습니다. 도메인 컨트롤러(DC)는 배포 모드가 됩니다.

참고 이 단계는 PacRequestorEnforcement가 사용자 환경에서 0으로 설정된 적이 없는 경우 필요하지 않습니다. 이 단계는 PacRequestorEnforcement를 0으로 설정한 고객이 적용 단계 전에 1을 설정하도록 하는 데 도움이 됩니다.

참고 이 업데이트는 모든 도메인 컨트롤러가 2021년 11월 9일 이상 업데이트로 Windows 가정합니다.

(업데이트됨) 2022년 10월 11일: 적용 단계

2022년 10월 11일 릴리스는 모든 Active Directory 도메인 컨트롤러를 적용 단계로 전환합니다. 적용 단계에서는 PacRequestorEnforcement 레지스트리 키도 완전히 제거됩니다. 따라서 2022년 10월 11일 업데이트를 설치한 Windows 도메인 컨트롤러는 더 이상 다음과 호환되지 않습니다.

2021년 11월 9일 이상 업데이트를 설치하지 않은 도메인 컨트롤러입니다.
2021년 11월 9일 이상 업데이트를 설치했지만 2022년 7월 12일 업데이트 및 PacRequestorEnforcement 레지스트리 값이 0인 도메인 컨트롤러입니다.

그러나 Windows 2022년 10월 11일 업데이트를 설치한 Windows 도메인 컨트롤러는 다음과 호환됩니다.

2022년 10월 11일 또는 이후 업데이트를 설치한 Windows 도메인 컨트롤러
2021년 11월^9일이상 업데이트를 설치하고 PacRequestorEnforcement 값 또는 1 또는 2가 있는 창 도메인 컨트롤러

레지스트리 키 정보

2021년 11월 9일과 2022년 6월 14일 사이에 릴리스된 업데이트에 CVE-2021-42287 Windows 보호를 설치한 후 다음 레지스트리 키를 사용할 수 있습니다.

레지스트리 하위 키	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
값	PacRequestorEnforcement
데이터 형식	REG_DWORD
데이터	1: 2021년 11월 9일 이상 업데이트가 설치된 Active Directory 도메인 컨트롤러를 사용하여 인증한 사용자에게 새 PAC를 추가합니다. 인증할 때 사용자에게 새 PAC가 있는 경우 PAC의 유효성이 검사됩니다. 사용자에게 새 PAC가 없는 경우 추가 작업이 수행되지 않습니다. 이 모드의 Active Directory 도메인 컨트롤러는 배포 단계에 있습니다. 2: 2021년 11월 9일 이상 업데이트가 설치된 Active Directory 도메인 컨트롤러를 사용하여 인증한 사용자에게 새 PAC를 추가합니다. 인증할 때 사용자에게 새 PAC가 있는 경우 PAC의 유효성이 검사됩니다. 사용자에게 새 PAC가 없는 경우 인증이 거부됩니다. 이 모드의 Active Directory 도메인 컨트롤러는 적용 단계에 있습니다. 0: 레지스트리 키를 사용하지 않도록 설정합니다. 권장하지 않음. 이 모드의 Active Directory 도메인 컨트롤러는 사용하지 않도록 설정되어 있습니다. 이 값은 2022년 7월 12일 이상 업데이트 후에 존재하지 않습니다. 중요 설정 0은 적용 설정 2와 호환되지 않습니다. 포리스트 내에서 두 설정을 모두 사용하는 경우 간헐적인 오류가 발생할 수 있습니다. 설정 0을 사용하는 경우 설정 2(적용 모드)로 이동하기 전에 설정 0(사용 안)을 설정 1(배포)으로 전환하는 것이 좋습니다.
기본값	1(레지스트리 키가 설정되지 않은 경우)
다시 시작이 필요한가요?	아니요

이벤트 감사

2021년 11월 9일 Windows 이벤트 로그도 추가됩니다.

특성이 없는 PAC

KDC는 PAC 특성 버퍼가 없는 TGT를 발생합니다. 로그의 다른 KDC에 업데이트가 포함되지 않은 경우 또는 사용하지 않도록 설정 모드일 수 있습니다.

이벤트 로그	시스템
이벤트 형식	경고
이벤트 소스	Kdcsvc
이벤트 ID	35
이벤트 텍스트	KDC(키 배포 센터)는 PAC 특성 필드를 포함하지 않은 다른 KDC("<KDC Name>")에서 티켓 부여 티켓(TGT)을 하게 됩니다.

PAC가 없는 티켓

KDC는 PAC 없이 TGT 또는 기타 증거 티켓을 만난다. 이렇게 하면 KDC가 티켓에 대한 보안 검사를 강요할 수 없습니다.

이벤트 로그	시스템
이벤트 형식	배포 단계 중 경고 적용 단계 중 오류
이벤트 소스	Kdcsvc
이벤트 ID	36
이벤트 텍스트	KDC(키 배포 센터)에서 다른 티켓에 대한 요청을 처리하는 동안 PAC가 포함되지 않은 티켓이 발생했습니다. 이렇게 하면 보안 검사가 실행되지 못하고 보안 취약성을 열 수 있습니다. 클라이언트: <Domain Name>\<User Name> 티켓: <Service Name>

Requestor가 없는 티켓

KDC는 PAC Requestor 버퍼가 없는 TGT 또는 기타 증거 티켓을 만난다. PAC를 생성한 KDC에 업데이트가 포함되지 않은 경우 또는 사용하지 않도록 설정되어 있을 수 있습니다.

참고 이벤트 37에 대한 중요한 정보는 알려진 문제 섹션을 참조하세요.

이벤트 로그	시스템
이벤트 형식	배포 단계 중 경고 적용 단계 중 오류
이벤트 소스	Kdcsvc
이벤트 ID	37
이벤트 텍스트	KDC(키 배포 센터)는 다른 티켓에 대한 요청을 처리하는 동안 티켓을 요청한 계정에 대한 정보가 포함되어 있지 않은 티켓이 발생했습니다. 이렇게 하면 보안 검사가 실행되지 못하고 보안 취약성을 열 수 있습니다. 에 의해 생성된 티켓 PAC: <KDC Name> 클라이언트: <Domain Name>\<Client Name> 티켓: <Service Name>

요청자 불일치

KDC는 TGT 또는 기타 증거 티켓을 발생하며, TGT 또는 증거 티켓을 요청한 계정은 서비스 티켓이 구축된 계정과 일치하지 않습니다.

이벤트 로그	시스템
이벤트 형식	오류
이벤트 소스	Kdcsvc
이벤트 ID	38
이벤트 텍스트	KDC(키 배포 센터)에서 티켓을 요청한 계정에 대한 불일치 정보가 포함된 티켓이 발생했습니다. 이는 티켓이 발급된 이후 계정의 이름을 다시 설정한 것을 의미할 수 있습니다. 이는 악용 시도의 일부일 수 있습니다. 에 의해 생성된 티켓 PAC: <Kdc Name> 클라이언트: <Domain Name>\<User Name> 티켓: <Service Name> Active Directory에서 계정 SID 요청: <SID> 티켓에서 계정 SID 요청: <SID>

알려진 문제

증상	해결 방법
2021년 11월 9일 이후에 출시된 Windows 업데이트를 DC(도메인 컨트롤러)에 설치한 후 일부 고객은 특정 암호 설정 또는 다음과 같은 변경 작업 후에 새로운 감사 이벤트 ID 37이 기록되는 것을 볼 수 있습니다. 장애 조치(Failover) 클러스터의 CNO 또는 VCO 업데이트 또는 복구 Active Directory 사용자 및 컴퓨터(dsa.msc) 콘솔에서 사용자 암호 재설정 Active Directory 사용자 및 컴퓨터(dsa.msc) 콘솔에서 새 사용자 만들기 도메인에 가입된 타사 장치의 암호 변경 2021년 11월 9일 이후에 릴리스된 Windows 업데이트를 일주일 동안 설치한 후 이벤트 ID 37이 표시되지 않고 PacRequestorEnforcement가 '1' 또는 '2'이면 환경에 영향을 미치지 않는 것입니다. PacRequestorEnforcement = 1로 설정하면 이벤트 ID 37이 경고로 기록되지만, 암호 변경 요청은 성공하며 사용자에게 영향을 미치지 않습니다. PacRequestorEnforcement = 2로 설정하면 암호 변경 요청이 실패하고 위에 나열된 작업도 실패하게 됩니다.	이 문제는 다음 업데이트에서 해결되었습니다. Windows 11 - KB5011563 Windows Server 2022 - KB5011558 Windows 10, 버전 20H2, Windows 10 버전 21H1 및 Windows 10 버전 21H2 - KB5011543 Windows 10, 버전 1809 및 Windows Server 2019 - KB5011551 Windows 10, 버전 1607 및 Windows Server 2016 - KB5012596 Windows Server 2012 R2 - KB5012670 Windows Server 2012 - KB5012666 Windows Server 2008 R2 - KB5012649 Windows Server 2008 SP2 - KB5012632

증상

해결 방법

2021년 11월 9일 이후에 출시된 Windows 업데이트를 DC(도메인 컨트롤러)에 설치한 후 일부 고객은 특정 암호 설정 또는 다음과 같은 변경 작업 후에 새로운 감사 이벤트 ID 37이 기록되는 것을 볼 수 있습니다.

장애 조치(Failover) 클러스터의 CNO 또는 VCO 업데이트 또는 복구
Active Directory 사용자 및 컴퓨터(dsa.msc) 콘솔에서 사용자 암호 재설정
Active Directory 사용자 및 컴퓨터(dsa.msc) 콘솔에서 새 사용자 만들기
도메인에 가입된 타사 장치의 암호 변경

2021년 11월 9일 이후에 릴리스된 Windows 업데이트를 일주일 동안 설치한 후 이벤트 ID 37이 표시되지 않고 PacRequestorEnforcement가 '1' 또는 '2'이면 환경에 영향을 미치지 않는 것입니다.

PacRequestorEnforcement = 1로 설정하면 이벤트 ID 37이 경고로 기록되지만, 암호 변경 요청은 성공하며 사용자에게 영향을 미치지 않습니다.

PacRequestorEnforcement = 2로 설정하면 암호 변경 요청이 실패하고 위에 나열된 작업도 실패하게 됩니다.

이 문제는 다음 업데이트에서 해결되었습니다.

Windows 11 - KB5011563
Windows Server 2022 - KB5011558
Windows 10, 버전 20H2, Windows 10 버전 21H1 및 Windows 10 버전 21H2 - KB5011543
Windows 10, 버전 1809 및 Windows Server 2019 - KB5011551
Windows 10, 버전 1607 및 Windows Server 2016 - KB5012596
Windows Server 2012 R2 - KB5012670
Windows Server 2012 - KB5012666
Windows Server 2008 R2 - KB5012649
Windows Server 2008 SP2 - KB5012632

질문과 대답

Q1 업데이트되지 않은 Active Directory 도메인 컨트롤러가 혼합되어 있는 경우 어떻게 하나요?

대답 1. 업데이트되지는 않지만 기본 PacRequestorEnforcement 레지스트리 키 값이 1인 도메인 컨트롤러가 혼합되어 서로 호환됩니다. 그러나 Microsoft는 환경에서 업데이트되지 않고 업데이트되지 않은 도메인 컨트롤러를 가지는 것을 강력하게 권고합니다.

Q2 다양한 PacRequestorEnforcement 값이 있는 Active Directory 도메인 컨트롤러가 혼합된 경우 어떻게 하나요?

대답 2. PacRequestorEnforcement 값이 0과 1인 도메인 컨트롤러의 혼합은 서로 호환됩니다. PacRequestorEnforcement 값이 1과 2인 도메인 컨트롤러의 혼합은 서로 호환됩니다. PacRequestorEnforcement 값이 0과 2인 도메인 컨트롤러의 혼합은 서로 호환되지 않습니다. 간헐적인 오류가 발생할 수 있습니다. 자세한 내용은 레지스트리 키 정보 섹션을 참조하세요.