KB5008380 — Atualizações de autenticação (CVE-2021-42287)

Resumo

O CVE-2021-42287 resolve uma vulnerabilidade de desativação de segurança que afeta o Certificado de Atributo de Privilégio Kerberos (PAC) e permite que potenciais atacantes representem controladores de domínio. Para explorar esta vulnerabilidade, uma conta de domínio comprometida pode fazer com que o Centro de Distribuição de Chaves (KDC) crie uma permissão de serviço com um nível de privilégio superior ao da conta comprometida. Para tal, impede que o KDC identifique para que conta se destina o pedido de serviço de privilégios mais elevado.

O processo de autenticação melhorado no CVE-2021-42287 adiciona novas informações sobre o requerente original aos PACs do Kerberos Ticket-Granting Tickets (TGT). Mais tarde, quando for gerada uma permissão de serviço Kerberos para uma conta, o novo processo de autenticação verificará se a conta que pediu o TGT é a mesma conta referenciada na permissão de serviço.

Depois de instalar atualizações do Windows datadas de 9 de novembro de 2021 ou posterior, os PACs serão adicionados ao TGT de todas as contas de domínio, mesmo aquelas que optaram anteriormente por recusar PACs.

Tomar medidas

Para proteger o seu ambiente e evitar interrupções, conclua os seguintes passos:

Atualize todos os dispositivos que alojam a função de controlador de domínio do Active Directory ao instalar a atualização de segurança de 9 de novembro de 2021 e a atualização OOB (out-of-band) de 14 de novembro de 2021. Localize o número OOB KB para o seu SO específico abaixo.

SO	Número da BDC
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Depois de instalar a atualização de segurança de 9 de novembro de 2021 e a atualização OOB de 14 de novembro de 2021 em todos os controladores de domínio do Active Directory durante, pelo menos, 7 dias, sugerimos vivamente que ative o Modo de imposição em todos os controladores de domínio do Active Directory.
A partir da (atualizada) atualização da Fase de Imposição de 11 de outubro de 2022, o Modo de imposição será ativado em todos os controladores de domínio do Windows e será necessário.

Temporização das atualizações do Windows – (Atualizado a 31/1/23)

Estas Atualizações do Windows serão lançadas em três fases:

Implementação inicial – introdução da atualização, bem como a chave de registo PacRequestorEnforcement
Segunda implementação – Remoção do valor PacRequestorEnforcement de 0 (capacidade de desativar a chave de registo)
Fase de imposição – o modo de imposição está ativado. Esta fase descontinua a chave PacRequestorEnforcement e já não a lê

9 de novembro de 2021: Fase de implementação inicial

A fase de implementação inicial começa com a atualização do Windows lançada a 9 de novembro de 2021. Esta versão:

Adiciona proteções contra CVE-2021-42287
Adiciona suporte para o valor do registo PacRequestorEnforcement , que lhe permite fazer a transição para a fase de Imposição mais cedo

A mitigação consiste na instalação de atualizações do Windows em todos os dispositivos que alojam a função de controlador de domínio e os controladores de domínio só de leitura (RODCs).

12 de julho de 2022: Segunda fase de implementação

A segunda fase de implementação começa com a atualização do Windows lançada a 12 de julho de 2022. Esta fase remove a definição PacRequestorEnforcement de 0. Definir PacRequestorEnforcement como 0 após a instalação desta atualização terá o mesmo efeito que definir PacRequestorEnforcement como 1. Os controladores de domínio (DCs) estarão no Modo de implementação.

Nota Esta fase não é necessária se PacRequestorEnforcement nunca tiver sido definido como 0 no seu ambiente. Esta fase ajuda a garantir que os clientes que definem PacRequestorEnforcement como 0passam para a definição 1 antes da fase de Imposição.

Nota Esta atualização pressupõe que todos os controladores de domínio são atualizados com a atualização do Windows de 9 de novembro de 2021 ou posterior.

11 de outubro de 2022: Fase de imposição - (Atualizado a 31/1/23)

A versão de 11 de outubro de 2022 fará a transição de todos os controladores de domínio do Active Directory para a fase de Imposição. A fase Descontinuação preteri a chave PacRequestorEnforcement e já não a lê. Como resultado, os controladores de domínio do Windows que tenham instalado a atualização de 11 de outubro de 2022 deixarão de ser compatíveis com:

Controladores de domínio que não instalaram as atualizações de 9 de novembro de 2021 ou posteriores.
Controladores de domínio que instalaram as atualizações de 9 de novembro de 2021 ou posteriores, mas que ainda não instalaram a atualização de 12 de julho de 2022 e que têm um valor de registo PacRequestorEnforcement de 0.

No entanto, os controladores de domínio do Windows que tenham instalado a atualização de 11 de outubro de 2022 permanecerão compatíveis com:

Controladores de domínio do Windows que tenham instalado as atualizações de 11 de outubro de 2022 ou posteriores
Controladores de domínio de janela que instalaram as atualizações^{de 9 de} novembro de 2021 ou posterior e têm um valor PacRequestorEnforcement ou 1 ou 2

Informações da chave do registo

Depois de instalar as proteções CVE-2021-42287 nas atualizações do Windows disponibilizadas entre 9 de novembro de 2021 e 14 de junho de 2022, estará disponível a seguinte chave de registo:

Subchave de registo	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Valor	PacRequestorEnforcement
Tipo de dados	REG_DWORD
Dados	1: Adicione o novo PAC aos utilizadores que se autenticaram com um controlador de domínio do Active Directory que tenha as atualizações de 9 de novembro de 2021 ou posterior instaladas. Ao autenticar, se o utilizador tiver o novo PAC, o PAC é validado. Se o utilizador não tiver o novo PAC, não serão tomadas mais medidas. Os controladores de domínio do Active Directory neste modo estão na fase implementação. 2: Adicione o novo PAC aos utilizadores que se autenticaram com um controlador de domínio do Active Directory que tenha as atualizações de 9 de novembro de 2021 ou posterior instaladas. Ao autenticar, se o utilizador tiver o novo PAC, o PAC é validado. Se o utilizador não tiver o novo PAC, a autenticação será negada. Os controladores de domínio do Active Directory neste modo estão na fase de Imposição. 0: desativa a chave de registo. Não recomendado. Os controladores de domínio do Active Directory neste modo estão na fase Desativado. Este valor não existirá após as atualizações de 12 de julho de 2022 ou posteriores. Importante A definição 0 não é compatível com a definição 2. Podem ocorrer falhas intermitentes se ambas as definições forem utilizadas numa floresta. Se a definição 0 for utilizada, recomendamos que mude a definição 0 (Desativar) para a definição 1 (Implementação) durante, pelo menos, uma semana antes de passar para a definição 2 (Modo de imposição).
Predefinição	1 (quando a chave de registo não está definida)
É necessário reiniciar?	Não

Eventos de Auditoria

A atualização do Windows de 9 de novembro de 2021 também adicionará novos registos de eventos.

PAC sem atributos

O KDC encontra um TGT sem a memória intermédia do Atributo PAC. É provável que o outro KDC nos registos não contenha a atualização ou esteja no modo Desativado.

Registo de Eventos	Sistema
Tipo de Evento	Aviso
Origem do Evento	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID de Evento	35
Texto do Evento	O Centro de Distribuição de Chaves (KDC) encontrou uma permissão de concessão de permissão (TGT) de outro KDC ("<nome KDC>") que não continha um campo de atributos PAC.

Permissão sem PAC

O KDC encontra um TGT ou outro pedido de prova sem um PAC. Isto impede o KDC de impor verificações de segurança no pedido de suporte.

Registo de Eventos	Sistema
Tipo de Evento	Aviso durante a Fase de Implementação Erro durante a Fase de Imposição
Origem do Evento	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID de Evento	36
Texto do Evento	O Centro de Distribuição de Chaves (KDC) encontrou um pedido que não continha um PAC durante o processamento de um pedido de outro pedido. Isto impediu que as verificações de segurança fossem executadas e poderia abrir vulnerabilidades de segurança. Cliente: <nome de domínio>\<nome de utilizador> Permissão para: <Nome do Serviço>

Permissão sem Requerente

O KDC encontra um TGT ou outro pedido de prova sem a memória intermédia do Pac Requestor. É provável que o KDC que construiu o PAC não contenha a atualização ou esteja no modo Desativado.

Nota Veja a secção Problemas conhecidos para obter informações importantes sobre o Evento 37.

Registo de Eventos	Sistema
Tipo de Evento	Aviso durante a Fase de Implementação Erro durante a Fase de Imposição
Origem do Evento	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID de Evento	37
Texto do Evento	O Centro de Distribuição de Chaves (KDC) encontrou um pedido que não continha informações sobre a conta que pediu o pedido durante o processamento de um pedido de outro pedido. Isto impediu que as verificações de segurança fossem executadas e poderia abrir vulnerabilidades de segurança. PAC da Permissão construído por: <nome KDC> Cliente: <nome de domínio>\<nome de cliente> Permissão para: <Nome do Serviço>

Erro de Correspondência do Requerente

O KDC encontra um TGT ou outro pedido de prova e a conta que solicitou o TGT ou o pedido de prova não corresponde à conta para a qual a permissão de serviço foi criada.

Registo de Eventos	Sistema
Tipo de Evento	Erro
Origem do Evento	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID de Evento	38
Texto do Evento	O Centro de Distribuição de Chaves (KDC) encontrou um pedido de suporte que continha informações inconsistentes sobre a conta que pediu o pedido. Isto pode significar que o nome da conta foi mudado desde que o pedido foi emitido, o que pode ter sido parte de uma tentativa de exploração. PAC de Pedido construído por: <nome Kdc> Cliente: <nome de domínio>\<nome de utilizador> Permissão para: <Nome do Serviço> Pedir o SID da Conta ao Active Directory: <sid> Pedir o SID da Conta à Permissão:> sid <

Problemas conhecidos

Sintoma	Solução
Após a instalação das atualizações do Windows disponibilizadas a 9 de novembro de 2021 ou posterior em controladores de domínio (DCs), alguns clientes poderão ver o novo ID do Evento de auditoria 37 registado após determinadas operações de alteração ou definição de palavra-passe, tais como: Atualizar ou Reparar CNO ou VCO do cluster de ativação pós-falha Repor a palavra-passe de um utilizador a partir da consola do Utilizadores e Computadores do Active Directory (dsa.msc) Criar um novo utilizador a partir da consola do Utilizadores e Computadores do Active Directory (dsa.msc) Alterar a palavra-passe de dispositivos de terceiros associados a um domínio Se não vir o ID do Evento 37 depois de instalar as atualizações do Windows disponibilizadas a 9 de novembro de 2021 ou posterior durante uma semana e o PacRequestorEnforcement for "1" ou "2", o seu ambiente não será afetado. Se definir PacRequestorEnforcement = 1, o ID do Evento 37 é registado como um aviso, mas os pedidos de alteração de palavra-passe serão bem-sucedidos e não afetarão os utilizadores. Se definir PacRequestorEnforcement = 2, os pedidos de alteração de palavra-passe falharão e farão com que as operações listadas acima também falhem.	Este problema foi resolvido nas seguintes atualizações: Windows 11 - KB5011563 Windows Server 2022 - KB5011558 Windows 10, versão 20H2, Windows 10 versão 21H1 e Windows 10, versão 21H2 - KB5011543 Windows 10, versão 1809 e Windows Server 2019 - KB5011551 Windows 10, versão 1607 e Windows Server 2016 - KB5012596 Windows Server 2012 R2 - KB5012670 Windows Server 2012 - KB5012666 Windows Server 2008 R2 - KB5012649 Windows Server 2008 SP2 - KB5012632

Sintoma

Solução

Após a instalação das atualizações do Windows disponibilizadas a 9 de novembro de 2021 ou posterior em controladores de domínio (DCs), alguns clientes poderão ver o novo ID do Evento de auditoria 37 registado após determinadas operações de alteração ou definição de palavra-passe, tais como:

Atualizar ou Reparar CNO ou VCO do cluster de ativação pós-falha
Repor a palavra-passe de um utilizador a partir da consola do Utilizadores e Computadores do Active Directory (dsa.msc)
Criar um novo utilizador a partir da consola do Utilizadores e Computadores do Active Directory (dsa.msc)
Alterar a palavra-passe de dispositivos de terceiros associados a um domínio

Se não vir o ID do Evento 37 depois de instalar as atualizações do Windows disponibilizadas a 9 de novembro de 2021 ou posterior durante uma semana e o PacRequestorEnforcement for "1" ou "2", o seu ambiente não será afetado.

Se definir PacRequestorEnforcement = 1, o ID do Evento 37 é registado como um aviso, mas os pedidos de alteração de palavra-passe serão bem-sucedidos e não afetarão os utilizadores.

Se definir PacRequestorEnforcement = 2, os pedidos de alteração de palavra-passe falharão e farão com que as operações listadas acima também falhem.

Este problema foi resolvido nas seguintes atualizações:

Windows 11 - KB5011563
Windows Server 2022 - KB5011558
Windows 10, versão 20H2, Windows 10 versão 21H1 e Windows 10, versão 21H2 - KB5011543
Windows 10, versão 1809 e Windows Server 2019 - KB5011551
Windows 10, versão 1607 e Windows Server 2016 - KB5012596
Windows Server 2012 R2 - KB5012670
Windows Server 2012 - KB5012666
Windows Server 2008 R2 - KB5012649
Windows Server 2008 SP2 - KB5012632

Perguntas mais frequentes

T1 O que acontece se tiver uma mistura de controladores de domínio do Active Directory que são atualizados e não atualizados?

A1. Uma mistura de controladores de domínio que são atualizados e não atualizados, mas que têm o valor predefinido da chave de registo PacRequestorEnforcement de 1, são compatíveis entre si. No entanto, a Microsoft aconselha vivamente a não ter controladores de domínio atualizados e não atualizados num ambiente.

Q2 O que acontece se tiver uma mistura de controladores de domínio do Active Directory que têm vários valores pacRequestorEnforcement?

A2. Uma mistura de controladores de domínio com valores PacRequestorEnforcement de 0 e 1 são compatíveis entre si. Uma mistura de controladores de domínio com valores PacRequestorEnforcement de 1 e 2 são compatíveis entre si. Uma mistura de controladores de domínio com valores PacRequestorEnforcement de 0 e 2 não é compatível entre si e pode causar falhas intermitentes. Consulte a secção Informações da chave de registo para obter mais detalhes.