KB5008380 – ispravke za potvrdu identiteta (CVE-2021-42287)

Rezime

CVE-2021-42287 rešava bezbednosnu zaobilaženje ranjivosti koja utiče na Kerberos Privilege Attribute Certificate (PAC) i dozvoljava potencijalnim napadacima da imitira kontrolere domena. Da bi iskoristio tu ranjivost, ugroženi nalog domena može dovesti do toga da Key Distribution Center (KDC) kreira tiket za uslugu sa višim nivoom privilegija od ugroženog naloga. To postiže tako što sprečava KDC da identifikuje za koji nalog je tiket za uslugu viših privilegija.

Poboljšani proces potvrde identiteta u CVE-2021-42287 dodaje nove informacije o prvobitnom pošiljaoca zahteva PACs of Kerberos Ticket-Granting Tiketi (TGT). Kasnije, kada se generiše tiket za uslugu Kerberos za nalog, novi proces potvrde identiteta će potvrditi da je nalog koji je zahtevao TGT isti nalog na koji se upućuje u tiketu za uslugu.

Nakon instaliranja Windows ispravki od 9. novembra 2021. ili novije verzije, PAC-ovi će biti dodati u TGT svih naloga domena, čak i onih koji su prethodno odlučili da odbiju PAC datoteke.

Preduzimanje radnje

Da biste zaštitili okruženje i izbegli prekcije, dovršite sledeće korake:

Ažurirajte sve uređaje koji hostuje ulogu kontrolera domena aktivnog direktorijuma tako što ćete instalirati bezbednosnu ispravku od 9. novembra 2021. i 14. novembra 2021. godine van mreže (OOB). Pronađite OOB KB broj za određeni operativni sistemu u nastavku.

OS	KB broj
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Nakon instaliranja bezbednosne ispravke od 9. novembra 2021. i OOB ispravke od 14. novembra 2021. na svim Active Directory kontrolere domena najmanje 7 dana, preporučujemo da omogućite režim sprovođenja na svim Active Directory kontrolere domena.
Počevši od ažuriranja (ažurirano) od 11. oktobra 2022. godine, režim sprovođenja će biti omogućen na svim Windows kontrolerima domena i biće potreban.

Podešavanje vremena ispravki za Windows - (ažurirano 31.1.23)

Ovi Windows Novosti će biti objavljeni u tri faze:

Početna primena – Uvod u ispravku, kao i ključ registratora PacRequestorEnforcement
Druga primena – Uklanjanje PacRequestorEnforcement vrednosti 0 (mogućnost onemogućavanja ključa registratora)
Faza sprovođenja – Režim sprovođenja je omogućen. Ova faza ukida ključ PacRequestorEnforcement i više ga ne čita

9. novembar 2021: Faza početne primene

Početna faza primene počinje windows ispravkom objavljenom 9. novembra 2021. godine. Ovo izdanje:

Dodaje zaštitu od CVE-2021-42287
Dodaje podršku za vrednost registratora PacRequestorEnforcement , što vam omogućava da ranije pređite na fazu sprovođenja

Umanjivanje se sastoji od instalacije Windows ispravki na svim uređajima koji hostuju ulogu kontrolera domena i kontrolera domena samo za čitanje (RODCs).

12. jul 2022: Druga faza raspoređivanja

Druga faza primene počinje ispravkom za Windows koja je objavljena 12. jula 2022. godine. Ova faza uklanja postavku PacRequestorEnforcement broja 0. Podešavanje usluge PacRequestorEnforcement na 0 nakon instaliranja ove ispravke imaće isti efekat kao postavljanje usluge PacRequestorEnforcement na 1. Kontrolere domena (DCs) će biti u režimu primene.

Beleške Ova faza nije neophodna ako PacRequestorEnforcement nikada nije bio postavljen na 0 u vašem okruženju. Ova faza obezbeđuje da se klijenti koji podese PacRequestorEnforcement preрu na 0pre faze sprovođenja.

Beleške Ova ispravka pretpostavlja da se svi kontrolori domena ažuriraju ispravkom za Windows od 9. novembra 2021. ili novijim.

11. oktobar 2022. godine: Faza sprovođenja - (ažurirano 31.1.23.

Izdanje od 11. oktobra 2022. prelazi sve active Directory kontrolera domena u fazu sprovođenja. Faza sprovođenja zastareva ključ PacRequestorEnforcement i više ga ne čita. Zbog toga Windows kontrolori domena koji su instalirali ispravku od 11. oktobra 2022. više neće biti kompatibilni sa:

Kontrolera domena koji nisu instalirali ispravke 9. novembra 2021. ili novije.
Kontroleri domena koji su instalirali ispravke od 9. novembra 2021. ili novije, ali još uvek nisu instalirali ispravku od 12. jula 2022. i koji imaju vrednost registratora PacRequestorEnforcement od 0.

Međutim, Windows kontrolori domena koji su instalirali ispravku od 11. oktobra 2022. ostaće kompatibilni sa:

Windows kontrolori domena koji su instalirali ispravke od 11. oktobra 2022. ili novije
Window domain controllers that have installed the^9th, 2021 or later updates and have a PacRequestorEnforcement value or or 1 or 2

Informacije o ključu registratora

Nakon instaliranja zaštite CVE-2021-42287 u ispravkama za Windows objavljenim između 9. novembra 2021. i 14. juna 2022, biće dostupan sledeći ključ registratora:

Potključ registratora	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Vrednost	PacRequestorEnforcement
Tip podataka	REG_DWORD
Podataka	1: Dodajte novi PAC korisnicima koji su potvrdili identitet pomoću Active Directory kontrolera domena koji ima instalirane ispravke od 9. novembra 2021. ili novije. Prilikom potvrde identiteta, ako korisnik ima novi PAC, validira se PAC. Ako korisnik nema novi PAC, dalje radnje se ne izvršavaju. Active Directory kontrolere domena u ovom režimu nalaze se u fazi primene. 2: Dodajte novi PAC korisnicima koji su potvrdili identitet pomoću Active Directory kontrolera domena koji ima instalirane ispravke od 9. novembra 2021. ili novije. Prilikom potvrde identiteta, ako korisnik ima novi PAC, validira se PAC. Ako korisnik nema novi PAC, potvrda identiteta je odbijena. Kontrolori domena aktivnog direktorijuma u ovom režimu nalaze se u fazi sprovođenja. 0: Onemogućavanje ključa registratora. Ne preporučuje se. Active Directory kontrolere domena u ovom režimu nalaze se u fazi Onemogućeno. Ova vrednost neće postojati nakon ispravki od 12. jula 2022. ili novije. Vaћno Postavka 0 nije kompatibilna sa postavkom 2. Može doći do poodmašnih grešaka ako se obe postavke koriste u okviru šume. Ako se koristi postavka 0, preporučujemo da podesite 0 (Onemogući) na postavku 1 (Primena) najmanje nedelju dana pre nego što se premestite na postavku 2 (režim sprovođenja).
Podrazumevani	1 (kada ključ registratora nije postavljen)
Da li je potrebno ponovno pokretanje?	Ne

Događaji nadzora

Windows ispravka od 9. novembra 2021. će dodati i nove evidencije događaja.

PAC bez atributa

KDC nailazi na TGT bez bafera PAC atributa. Moguće je da drugi KDC u evidencijama ne sadrži ispravku ili je u onemogućenom režimu.

Evidencija događaja	Sistem
Tip događaja	Upozorenje
Izvor događaja	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID događaja	35
Tekst događaja	Centar za ključnu distribuciju (KDC) je naišao na tiket za dodelu tiketa (TGT) iz drugog KDC-a ("<KDC ime>") koji ne sadrži polje "PAC atributi".

Tiket bez PAC

KDC nailazi na TGT ili drugi tiket za dokaze bez PAC-a. To sprečava KDC da nametne bezbednosne provere na tiketu.

Evidencija događaja	Sistem
Tip događaja	Upozorenje tokom faze primene Greška tokom faze sprovođenja
Izvor događaja	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID događaja	36
Tekst događaja	Centar za ključnu distribuciju (KDC) je naišao na tiket koji nije sadržao PAC prilikom obrade zahteva za drugi tiket. To je sprečilo pokretanje bezbednosnih provera i moglo bi da otvori bezbednosne ranjivosti. Klijent: <ime domena>\<ime> Tiket za: <ime usluge>

Tiket bez zahteva

KDC nailazi na TGT ili drugi tiket za dokaze bez bafera PAC zahteva. KDC koji je napravio PAC verovatno ne sadrži ispravku ili je u onemogućenom režimu.

Beleške Važne informacije o događaju 37 potražite u odeljku Poznati problemi.

Evidencija događaja	Sistem
Tip događaja	Upozorenje tokom faze primene Greška tokom faze sprovođenja
Izvor događaja	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID događaja	37
Tekst događaja	Centar za ključnu distribuciju (KDC) je naišao na tiket koji ne sadrži informacije o nalogu koji je zahtevao tiket prilikom obrade zahteva za drugi tiket. To je sprečilo pokretanje bezbednosnih provera i moglo bi da otvori bezbednosne ranjivosti. Ticket PAC konstruiše: <KDC ime> Klijent: <ime domena>\<klijenta> Tiket za: <ime usluge>

Neududaranje pošiljalaca zahteva

KDC nailazi na TGT ili drugi tiket sa dokazima, a nalog koji je zahtevao TGT ili tiket sa dokazima se ne podudara sa nalogom za koji je tiket za uslugu napravljen.

Evidencija događaja	Sistem
Tip događaja	Greška
Izvor događaja	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID događaja	38
Tekst događaja	Centar za ključnu distribuciju (KDC) je naišao na tiket koji je sadržala nedosledne informacije o nalogu koji je zahtevao tiket. To može da znači da je nalog preimenovan od izdavanja tiketa, što je možda deo pokušaja iskorišćavanja. Tiket PAC konstruiše: <KDC ime> Klijent: <ime domena>\<ime> Tiket za: <ime usluge> Zahtevanje SID naloga od aktivnog direktorijuma: <SID> Zahteva se SID naloga od tiketa: <SID>

Poznati problemi

Simptom	Zaobilazno rešenje
Nakon instalacije Windows ispravki objavljenih 9. novembra 2021. ili novijih verzija na upravljačima domena (DCs), neki klijenti će možda videti novi ID događaja nadzora 37 evidentiran nakon određene postavke lozinke ili promene operacija kao što su: Ažuriranje ili popravljanje CNO ili VCO klastera za preuzimanje posla instance koja padne Poništavanje lozinke korisnika sa Active Directory Users and Computers (dsa.msc) konzole Kreiranje novog korisnika sa Active Directory Users and Computers (dsa.msc) konzole Promena lozinke za uređaje pridružene domenima nezavisnih proizvođača Ako ne vidite ID događaja 37 nakon instaliranja windows ispravki objavljenih 9. novembra 2021. ili novije sedmice, a PacRequestorEnforcement je "1" ili "2", to ne utiče na okruženje. Ako podesite PacRequestorEnforcement = 1, ID događaja 37 se evidentira kao upozorenje, ali zahtevi za promenu lozinke će uspeti i neće uticati na korisnike. Ako podesite PacRequestorEnforcement = 2, zahtevi za promenu lozinke neće uspeti i dovesti do toga da gorenavedene operacije takođe ne uspeju.	Ovaj problem je rešen u sledećim ispravkama: Windows 11 - KB5011563 Windows Server 2022 - KB5011558 Windows 10, verzija 20H2, Windows 10 verzija 21H1 i Windows 10, verzija 21H2 - KB5011543 Windows 10, verzija 1809 i Windows Server 2019 – KB5011551 Windows 10, verzija 1607 i Windows Server 2016 – KB5012596 Windows Server 2012 R2 – KB5012670 Windows Server 2012 - KB5012666 Windows Server 2008 R2 – KB5012649 Windows Server 2008 SP2 – KB5012632

Simptom

Zaobilazno rešenje

Nakon instalacije Windows ispravki objavljenih 9. novembra 2021. ili novijih verzija na upravljačima domena (DCs), neki klijenti će možda videti novi ID događaja nadzora 37 evidentiran nakon određene postavke lozinke ili promene operacija kao što su:

Ažuriranje ili popravljanje CNO ili VCO klastera za preuzimanje posla instance koja padne
Poništavanje lozinke korisnika sa Active Directory Users and Computers (dsa.msc) konzole
Kreiranje novog korisnika sa Active Directory Users and Computers (dsa.msc) konzole
Promena lozinke za uređaje pridružene domenima nezavisnih proizvođača

Ako ne vidite ID događaja 37 nakon instaliranja windows ispravki objavljenih 9. novembra 2021. ili novije sedmice, a PacRequestorEnforcement je "1" ili "2", to ne utiče na okruženje.

Ako podesite PacRequestorEnforcement = 1, ID događaja 37 se evidentira kao upozorenje, ali zahtevi za promenu lozinke će uspeti i neće uticati na korisnike.

Ako podesite PacRequestorEnforcement = 2, zahtevi za promenu lozinke neće uspeti i dovesti do toga da gorenavedene operacije takođe ne uspeju.

Ovaj problem je rešen u sledećim ispravkama:

Windows 11 - KB5011563
Windows Server 2022 - KB5011558
Windows 10, verzija 20H2, Windows 10 verzija 21H1 i Windows 10, verzija 21H2 - KB5011543
Windows 10, verzija 1809 i Windows Server 2019 – KB5011551
Windows 10, verzija 1607 i Windows Server 2016 – KB5012596
Windows Server 2012 R2 – KB5012670
Windows Server 2012 - KB5012666
Windows Server 2008 R2 – KB5012649
Windows Server 2008 SP2 – KB5012632

Najčešća pitanja

Q1 Šta se dešava ako imam mešavinu Active Directory kontrolera domena koji se ažuriraju i ne ažuriraju?

A1. Mešavina kontrolera domena koji se ažuriraju i ne ažuriraju, ali imaju podrazumevanu vrednost ključa registratora PacRequestorEnforcement od 1 kompatibilna su jedni sa drugima. Međutim, Microsoft uporno savetuje da ne koristite upravljače domenima koji se ažuriraju, a ne ažuriraju u okruženju.

Q2 Šta se dešava ako imam mešavinu Active Directory kontrolera domena koji imaju različite Vrednosti Usluge PacRequestorEnforcement?

A2. Mešavina kontrolera domena koji imaju vrednosti "PacRequestorEnforcement " vrednosti 0 i 1 kompatibilna su jedan sa drugim. Mešavina kontrolera domena koji imaju vrednosti "PacRequestorEnforcement " za 1 i 2 kompatibilna su jedan sa drugim. Mešavina kontrolera domena koji imaju vrednosti "PacRequestorEnforcement" vrednosti 0 i 2 nisu kompatibilni jedan sa drugim i mogu da dovode do po povremenog otkazivanja. Više detalja potražite u odeljku sa informacijama o ključu registratora.