KB5021130: como gerenciar as alterações do protocolo Netlogon relacionadas ao CVE-2022-38023

A fase de implantação inicial começa com as atualizações lançadas em 08 de novembro de 2022 e continua com as atualizações posteriores do Windows até a fase de imposição. As atualizações do Windows em ou após 08 de novembro de 2022 resolvem a vulnerabilidade do bypass de segurança da CVE-2022-38023 impondo a vedação RPC em todos os clientes Windows.

Por padrão, os dispositivos serão definidos no Modo de compatibilidade. Os controladores de domínio do Windows exigirão que os clientes Netlogon usem o selo RPC se estiverem executando o Windows ou se estiverem atuando como controladores de domínio ou como contas de confiança.

As atualizações do Windows lançadas em ou após 11 de abril de 2023 removerão a capacidade de desabilitar a vedação RPC definindo o valor 0 para subchave do registro RequireSeal.

A subchave do registro RequireSeal será movida para o modo Imposto, a menos que os administradores configurem explicitamente para estarem no Modo de compatibilidade. As conexões vulneráveis de todos os clientes, incluindo terceiros, terão a autenticação negada. Consulte Alteração 1.

As atualizações do Windows lançadas em 11 de julho de 2023 removerão a capacidade de definir o valor 1 como a subchave do registro RequireSeal. Isso habilita a Fase de imposição do CVE-2022-38023.

Se você encontrar essa mensagem de erro nos seus logs de eventos, deverá executar as seguintes ações para resolver o erro do sistema:

• Confirme se o dispositivo está executando uma versão com o suporte do Windows.

• Verifique se todos os dispositivos estão atualizados.

• Verifique se o Membro do domínio: Membro do domínio Criptografar digitalmente ou assinar dados do canal seguro (sempre) está definido como Habilitado .

Se você encontrar o Evento 5840, é um sinal de que um cliente no seu domínio está usando criptografia fraca.

Se você encontrar o Evento 5841, é um sinal de que o valor RejectMD5Clients será definido como VERDADEIRO .

A RejectMD5Clients é uma chave pré-existente no serviço Netlogon. Para obter mais informações, consulte a descrição RejectMD5Clients do Modelo de Dados Abstrato.

Todas as contas de computador ingressadas no domínio são afetadas por essa CVE. Os eventos mostrarão quem é mais afetado por esse problema depois que as atualizações do Windows de 08 de novembro de 2022 ou posteriores forem instaladas, examine a seção Erros do Log de Eventos para resolver os problemas.

Para ajudar a detectar clientes mais antigos que não estejam usando a criptografia mais forte disponível, esta atualização apresenta logs de eventos para clientes que estão usando o RC4.

A assinatura do RPC é quando o protocolo Netlogon usa o RPC para assinar as mensagens enviadas por fio. A vedação RPC é quando o protocolo Netlogon assina e criptografa as mensagens enviadas por fio.

O Controlador de Domínio do Windows determina se um cliente Netlogon está executando o Windows consultando o atributo “OperatingSystem” no Active Directory para o cliente Netlogon e verificando as seguintes cadeias de caracteres:

• “Windows”, “Hyper-V Server”, e “Azure Stack HCI”

Não recomendamos nem oferecemos suporte para que esse atributo seja alterado por clientes Netlogon ou administradores de domínio para um valor que não seja representativo do sistema operacional (SO) que o cliente Netlogon está executando. Você deve estar ciente de que podemos alterar os critérios de pesquisa a qualquer momento. Consulte Alteração 3.

A fase de imposição não rejeita clientes Netlogon com base no tipo de criptografia que os clientes usam. Ele rejeitará somente clientes Netlogon se eles fizerem assinatura RPC em vez de Vedação RPC. A rejeição de clientes de logon de rede RC4 baseia-se na chave do Registro “RejectMd5Clients” disponível para o Windows Server 2008 R2 e Controladores de Domínio do Windows posteriores. A fase de imposição desta atualização não altera o valor "RejectMd5Clients". Recomendamos que os clientes habilitem o valor "RejectMd5Clients" para maior segurança em seus domínios. Consulte Alteração 3.

O Padrão Avançado de Criptografia (AES) é uma cifra de bloco que substitui o Padrão de Criptografia de Dados (DES). O AES pode ser usado para proteger dados eletrônicos. O algoritmo do AES pode ser usado para criptografar (cercar) e descriptografar informações (decifrar). A criptografia converte dados em uma forma não qualificada chamada de texto cifrado; descriptografar o texto cifrado converte os dados de volta à sua forma original, chamada de texto não criptografado. O AES é usado na criptografia de chave simétrica, o que significa que a mesma chave é usada para as operações de criptografia e descriptografia. Também é uma criptografia de bloco, o que significa que opera em blocos de tamanho fixo de texto não criptografado e texto cifrado e exige que o tamanho do texto não criptografado, assim como o texto cifrado, seja um múltiplo exato desse tamanho de bloco. O AES também é conhecido como o algoritmo de criptografia simétrica Rijndael [FIPS197] .

Em um ambiente de segurança de rede compatível com o sistema operacional do Windows NT, o componente responsável pelas funções de sincronização e manutenção entre um controlador de domínio primário (PDC)e os controladores de domínio de backup (BDC). Netlogon é um precursor do protocolo servidor de replicação de diretório (DRS). A interface Protocolo Remoto Netlogon chamada de procedimento remoto (RPC) é usada principalmente para manter a relação entre um dispositivo e seu domínio , e relações entre controladores de domínio (DCs) e domínios. Para obter mais informações, consulte Protocolo Remoto Netlogon.

RC4-HMAC (RC4) é um algoritmo de criptografia simétrica de comprimento de chave variável. Para obter mais informações, consulte [SCHNEIER] seção 17.1.

Uma conexão autenticada chamada de procedimento remoto (RPC) entre dois computadores em um domínio com um contexto de segurança estabelecido usado para assinar e criptografar pacotes RPC.