KB5008380 — обновления проверки подлинности (CVE-2021-42287)

Сводка

CVE-2021-42287 устраняет уязвимость обхода безопасности, которая влияет на сертификат атрибута привилегий Kerberos (PAC) и позволяет потенциальным злоумышленникам олицетворять контроллеры домена. Чтобы воспользоваться этой уязвимостью, скомпрометированная учетная запись домена может привести к тому, что центр распространения ключей (KDC) создаст билет службы с более высоким уровнем привилегий, чем у скомпрометированного учетных записей. Это достигается путем запрета KDC определить, для какой учетной записи указан билет службы с более высоким уровнем привилегий.

Улучшенный процесс проверки подлинности в CVE-2021-42287 добавляет новые сведения об исходном инициаторе запроса в PAC Kerberos Ticket-Granting Tickets (TGT). Позже при создании билета службы Kerberos для учетной записи новый процесс проверки подлинности проверяет, что учетная запись, запрашивающая TGT, является той же учетной записью, на которую ссылается билет службы.

После установки обновлений Windows от 9 ноября 2021 г. или более поздней версии paCs будут добавлены в TGT всех учетных записей домена, даже тех, которые ранее отказались от paCs.

Принять меры

Чтобы защитить среду и избежать сбоев, выполните следующие действия.

Обновите все устройства, на которых размещена роль контроллера домена Active Directory, установив обновление для системы безопасности от 9 ноября 2021 г. и обновление от 14 ноября 2021 г. Найдите номер базы знаний OOB для конкретной ОС ниже.

ОС	Номер базы знаний
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 с пакетом обновления 1 (SP1)	5008605
Windows Server 2008 с пакетом обновления 2 (SP2)	5008606

После установки обновления для системы безопасности от 9 ноября 2021 г. и обновления OOB от 14 ноября 2021 г. на всех контроллерах домена Active Directory в течение по крайней мере 7 дней настоятельно рекомендуется включить режим принудительного применения на всех контроллерах домена Active Directory.
Начиная с обновления этапа принудительного применения от 11 октября 2022 г. режим принудительного применения будет включен на всех контроллерах домена Windows и потребуется.

Время обновления Windows — (обновлено 31.01.23)

Эти Обновления Windows будут выпущены в три этапа:

Начальное развертывание — введение обновления, а также раздел реестра PacRequestorEnforcement .
Второе развертывание — удаление значения PacRequestorEnforcement 0 (возможность отключения раздела реестра)
Этап принудительного применения — режим принудительного применения включен. Этот этап устаревает ключ PacRequestorEnforcement и больше не считывает его.

9 ноября 2021 г.: этап начального развертывания

Начальный этап развертывания начинается с обновления Windows, выпущенного 9 ноября 2021 г. Этот выпуск:

Добавлена защита от CVE-2021-42287
Добавлена поддержка значения реестра PacRequestorEnforcement , которое позволяет перейти на фазу принудительного применения на ранних этапах.

Устранение рисков заключается в установке обновлений Windows на всех устройствах, на которых размещена роль контроллера домена и контроллеры домена только для чтения (RODC).

12 июля 2022 г.: второй этап развертывания

Второй этап развертывания начинается с обновления Windows, выпущенного 12 июля 2022 г. На этом этапе параметр PacRequestorEnforcement 0 удаляется. Установка параметра PacRequestorEnforcement в значение 0 после установки этого обновления будет иметь тот же эффект, что и для параметра PacRequestorEnforcement значение 1. Контроллеры домена (DCs) будут находиться в режиме развертывания.

Примечание Этот этап не является обязательным, если в среде pacRequestorEnforcement никогда не устанавливалось значение 0. Этот этап помогает убедиться, что клиенты, для которого установлено значение PacRequestorEnforcement равным 0, перейдут к параметру 1 перед этапом принудительного применения.

Примечание Это обновление предполагает, что все контроллеры домена обновлены до обновления Windows от 9 ноября 2021 г. или более поздней версии.

11 октября 2022 г.: этап принудительного применения — (обновлено 31.01.23)

В выпуске от 11 октября 2022 г. все контроллеры домена Active Directory будут переведены на этап принудительного применения. Этап принудительного применения не рекомендует ключ PacRequestorEnforcement и больше не считывает его. В результате контроллеры домена Windows, на которых установлено обновление от 11 октября 2022 г., больше не будут совместимы с:

Контроллеры домена, которые не устанавливали обновления от 9 ноября 2021 г. или более поздних версий.
Контроллеры домена, которые установили обновления от 9 ноября 2021 г. или более поздних версий, но еще не установили обновление от 12 июля 2022 г. и имеют значение реестра PacRequestorEnforcement , равное 0.

Однако контроллеры домена Windows, на которых установлено обновление от 11 октября 2022 г., останутся совместимыми с:

Контроллеры домена Windows, на которых установлены обновления от 11 октября 2022 г. или более поздних версий
Оконные контроллеры^{домена, которые} установили обновления от 9 ноября 2021 г. или более поздней версии и имеют значение PacRequestorEnforcement либо 1, либо 2

Сведения о разделе реестра

После установки средств защиты CVE-2021-42287 в обновлениях Windows, выпущенных с 9 ноября 2021 г. по 14 июня 2022 г., будет доступен следующий раздел реестра:

Подраздел реестра	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Значение	PacRequestorEnforcement
Тип данных	REG_DWORD
Данные	1. Добавьте новый PAC для пользователей, прошедших проверку подлинности с помощью контроллера домена Active Directory с установленными обновлениями от 9 ноября 2021 г. или более поздних версий. При проверке подлинности, если у пользователя есть новый PAC, PAC проверяется. Если у пользователя нет нового PAC, дальнейшие действия не предпринимаются. Контроллеры домена Active Directory в этом режиме находятся на этапе развертывания. 2. Добавьте новый PAC для пользователей, прошедших проверку подлинности с помощью контроллера домена Active Directory с установленными обновлениями от 9 ноября 2021 г. или более поздних версий. При проверке подлинности, если у пользователя есть новый PAC, PAC проверяется. Если у пользователя нет нового PAC, проверка подлинности отклоняется. Контроллеры домена Active Directory в этом режиме находятся на этапе принудительного применения. 0: отключает раздел реестра. Не рекомендуется. Контроллеры домена Active Directory в этом режиме находятся на этапе Отключено. Это значение не будет существовать после обновления от 12 июля 2022 г. или более поздних версий. Важно Параметр 0 несовместим с параметром 2. Если оба параметра используются в лесу, могут возникать периодические сбои. Если используется параметр 0, рекомендуется перевести параметр 0 (отключить) на параметр 1 (развертывание) по крайней мере на неделю, прежде чем перейти к параметру 2 (режим принудительного применения).
По умолчанию	1 (если раздел реестра не задан)
Требуется ли перезапуск?	Нет

События аудита

Обновление Windows от 9 ноября 2021 г. также добавит новые журналы событий.

PAC без атрибутов

KDC обнаруживает TGT без буфера атрибута PAC. Вполне вероятно, что другой KDC в журналах не содержит обновления или находится в отключенном режиме.

Журнал событий	Система
Тип события	Предупреждение
Источник события	Microsoft-Windows-Kerberos-Key-Distribution-Center
Идентификатор события	35
Текст события	Центр распространения ключей (KDC) обнаружил билет-предоставление билета (TGT) из другого KDC ("<KDC Name>"), который не содержал поле атрибутов PAC.

Билет без PAC

KDC встречает TGT или другой билет доказательства без PAC. Это предотвращает применение KDC проверок безопасности для билета.

Журнал событий	Система
Тип события	Предупреждение на этапе развертывания Ошибка на этапе принудительного применения
Источник события	Microsoft-Windows-Kerberos-Key-Distribution-Center
Идентификатор события	36
Текст события	Центр распространения ключей (KDC) обнаружил билет, который не содержал PAC при обработке запроса на другой билет. Это не позволяло выполнять проверки безопасности и может привести к уязвимостям системы безопасности. Клиент: <доменное имя>\<имя пользователя> Билет для: <имя службы>

Билет без инициатора запроса

KDC обнаруживает TGT или другой билет доказательства без буфера PAC Requestor. Вполне вероятно, что KDC, сконструированный PAC, не содержит обновление или находится в режиме "Отключено".

Примечание Важные сведения о событии 37 см. в разделе Известные проблемы .

Журнал событий	Система
Тип события	Предупреждение на этапе развертывания Ошибка на этапе принудительного применения
Источник события	Microsoft-Windows-Kerberos-Key-Distribution-Center
Идентификатор события	37
Текст события	Центр распространения ключей (KDC) обнаружил билет, который не содержал сведения об учетной записи, которая запросила билет при обработке запроса на другой билет. Это не позволяло выполнять проверки безопасности и может привести к уязвимостям системы безопасности. Билет PAC создан: <KDC Name> Клиент: <доменное имя>\<имя клиента> Билет для: <имя службы>

Несоответствие инициатора запроса

KDC сталкивается с запросом TGT или другим подтверждением, и учетная запись, запрашивающая запрос TGT или подтверждение, не соответствует учетной записи, для которой создан билет службы.

Журнал событий	Система
Тип события	Ошибка
Источник события	Microsoft-Windows-Kerberos-Key-Distribution-Center
Идентификатор события	38
Текст события	Центр распространения ключей (KDC) обнаружил билет, содержащий несогласованную информацию об учетной записи, которая запросила билет. Это может означать, что учетная запись была переименована с момента выдачи билета, который, возможно, был частью попытки эксплойта. Билет PAC создан: <Kdc Name> Клиент: <доменное имя>\<имя пользователя> Билет для: <имя службы> Запрос идентификатора безопасности учетной записи из Active Directory: <SID> Запрос идентификатора безопасности учетной записи из билета: <SID>

Известные проблемы

Проблема	Временное решение
После установки обновлений Windows, выпущенных 9 ноября 2021 г. или более поздней версии на контроллерах домена (DCs), некоторые клиенты могут увидеть новое событие аудита с идентификатором 37, зарегистрированное после определенных операций настройки пароля или изменения, таких как: Обновление или восстановление CNO или VCO отказоустойчивого кластера Сброс пароля пользователя из консоли Пользователи и компьютеры Active Directory (dsa.msc) Создание нового пользователя из консоли Пользователи и компьютеры Active Directory (dsa.msc) Изменение пароля для сторонних устройств, присоединенных к домену Если после установки обновлений Windows от 9 ноября 2021 г. или более поздней версии в течение недели не отображается событие с идентификатором 37, а параметр PacRequestorEnforcement имеет значение "1" или "2", ваша среда не затрагивается. Если задать параметр PacRequestorEnforcement = 1, событие с идентификатором 37 регистрируется в журнале как предупреждение, но запросы на изменение пароля будут выполнены и не повлияют на пользователей. Если задать параметр PacRequestorEnforcement = 2, запросы на изменение пароля завершатся ошибкой и приведут к сбою перечисленных выше операций.	Эта проблема устранена в следующих обновлениях: Windows 11 — KB5011563 Windows Server 2022 — KB5011558 Windows 10 версии 20H2 Windows 10 версии 21H1 и Windows 10 версии 21H2 — KB5011543 Windows 10, версия 1809 и Windows Server 2019 — KB5011551 Windows 10 версии 1607 и Windows Server 2016 — KB5012596 Windows Server 2012 R2 — KB5012670 Windows Server 2012 — KB5012666 Windows Server 2008 R2 — KB5012649 Windows Server 2008 с пакетом обновления 2 (SP2) — KB5012632

Проблема

Временное решение

После установки обновлений Windows, выпущенных 9 ноября 2021 г. или более поздней версии на контроллерах домена (DCs), некоторые клиенты могут увидеть новое событие аудита с идентификатором 37, зарегистрированное после определенных операций настройки пароля или изменения, таких как:

Обновление или восстановление CNO или VCO отказоустойчивого кластера
Сброс пароля пользователя из консоли Пользователи и компьютеры Active Directory (dsa.msc)
Создание нового пользователя из консоли Пользователи и компьютеры Active Directory (dsa.msc)
Изменение пароля для сторонних устройств, присоединенных к домену

Если после установки обновлений Windows от 9 ноября 2021 г. или более поздней версии в течение недели не отображается событие с идентификатором 37, а параметр PacRequestorEnforcement имеет значение "1" или "2", ваша среда не затрагивается.

Если задать параметр PacRequestorEnforcement = 1, событие с идентификатором 37 регистрируется в журнале как предупреждение, но запросы на изменение пароля будут выполнены и не повлияют на пользователей.

Если задать параметр PacRequestorEnforcement = 2, запросы на изменение пароля завершатся ошибкой и приведут к сбою перечисленных выше операций.

Эта проблема устранена в следующих обновлениях:

Windows 11 — KB5011563
Windows Server 2022 — KB5011558
Windows 10 версии 20H2 Windows 10 версии 21H1 и Windows 10 версии 21H2 — KB5011543
Windows 10, версия 1809 и Windows Server 2019 — KB5011551
Windows 10 версии 1607 и Windows Server 2016 — KB5012596
Windows Server 2012 R2 — KB5012670
Windows Server 2012 — KB5012666
Windows Server 2008 R2 — KB5012649
Windows Server 2008 с пакетом обновления 2 (SP2) — KB5012632

Вопросы и ответы

Вопрос 1 Что произойдет, если у меня есть сочетание контроллеров домена Active Directory, которые обновлены и не обновлены?

A1. Сочетание контроллеров домена, которые обновляются и не обновляются, но имеют значение реестра PacRequestorEnforcement по умолчанию, равное 1, совместимы друг с другом. Однако корпорация Майкрософт настоятельно не рекомендует обновлять контроллеры домена, которые не обновляются в среде.

Вопрос 2 Что произойдет, если у меня есть сочетание контроллеров домена Active Directory с различными значениями PacRequestorEnforcement?

A2. Сочетание контроллеров домена со значениями PacRequestorEnforcement 0 и 1 совместимы друг с другом. Сочетание контроллеров домена со значениями PacRequestorEnforcement 1 и 2 совместимы друг с другом. Сочетание контроллеров домена со значениями PacRequestorEnforcement 0 и 2 несовместимы друг с другом и могут привести к периодическим сбоям. Дополнительные сведения см. в разделе Сведения о разделе разделов реестра.