KB5008380—การอัปเดตการรับรองความถูกต้อง (CVE-2021-42287)

บทสรุป

CVE-2021-42287 จัดการช่องโหว่การเลี่ยงผ่านการรักษาความปลอดภัยที่มีผลต่อใบรับรองแอตทริบิวต์สิทธิ์ของ Kerberos (PAC) และอนุญาตให้ผู้โจมตีสามารถเลียนแบบตัวควบคุมโดเมนได้ เมื่อต้องการใช้ประโยชน์จากช่องโหว่นี้ บัญชีโดเมนที่ถูกโจมตีอาจทําให้ Key Distribution Center (KDC) สร้างตั๋วบริการที่มีระดับสิทธิ์สูงกว่าของบัญชีที่ถูกโจมตี โดยดําเนินการให้สําเร็จโดยป้องกันไม่ให้ KDC ระบุว่าบัญชีใดเป็นตั๋วบริการที่มีสิทธิ์สูงกว่า

กระบวนการตรวจสอบสิทธิ์ที่ได้รับการปรับปรุงใน CVE-2021-42287 จะเพิ่มข้อมูลใหม่เกี่ยวกับผู้ร้องขอเดิมไปยัง PACs ของ Kerberos Ticket-Granting Tickets (TGT) ต่อมาเมื่อมีการสร้างตั๋วบริการ Kerberos สําหรับบัญชี กระบวนการการรับรองความถูกต้องใหม่จะตรวจสอบว่าบัญชีที่ร้องขอ TGT เป็นบัญชีเดียวกันที่อ้างอิงในตั๋วบริการ

หลังจากติดตั้งการอัปเดต Windows ลงวันที่ 9 พฤศจิกายน 2021 หรือใหม่กว่า PAC จะถูกเพิ่มไปยัง TGT ของบัญชีโดเมนทั้งหมด แม้แต่บัญชีที่เลือกปฏิเสธ PAC ก่อนหน้านี้

ดำเนิน

เพื่อปกป้องสภาพแวดล้อมของคุณและหลีกเลี่ยงการหยุดทํางาน โปรดทําตามขั้นตอนต่อไปนี้:

อัปเดตอุปกรณ์ทั้งหมดที่โฮสต์บทบาทตัวควบคุมโดเมน Active Directory ด้วยการติดตั้งการอัปเดตความปลอดภัยวันที่ 9 พฤศจิกายน 2021 และการอัปเดตแบบไม่มีแบนด์ (OOB) ของวันที่ 14 พฤศจิกายน 2021 ค้นหาหมายเลข OOB KB สําหรับระบบปฏิบัติการของคุณด้านล่าง

ระบบปฏิบัติการ	หมายเลข KB
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows เซิร์ฟเวอร์ 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

หลังจากติดตั้งการอัปเดตความปลอดภัย 9 พฤศจิกายน 2021 และการอัปเดต OOB ของวันที่ 14 พฤศจิกายน 2021 บนตัวควบคุมโดเมน Active Directory ทั้งหมดอย่างน้อย 7 วัน เราขอแนะนําให้คุณเปิดใช้งานโหมดการบังคับใช้บนตัวควบคุมโดเมน Active Directory ทั้งหมด
เริ่มต้นด้วยการอัปเดตระยะการบังคับใช้ของวันที่ 11 ตุลาคม 2022 โหมดการบังคับใช้จะเปิดใช้งานบนตัวควบคุมโดเมน Windows ทั้งหมดและจําเป็น

การกําหนดเวลาของการอัปเดต Windows - (อัปเดตเมื่อ 31/1/23)

windows Updates เหล่านี้จะเผยแพร่ในสามขั้นตอน:

การปรับใช้ครั้งแรก – บทนําของการอัปเดต รวมถึงรีจิสทรีคีย์ PacRequestorEnforcement
การปรับใช้ที่สอง – การเอา PacRequestorEnforcement ค่า 0 ออก (ความสามารถในการปิดใช้งานรีจิสทรีคีย์)
ขั้นตอนการบังคับใช้ – เปิดใช้งานโหมดการบังคับใช้ ระยะนี้ไม่สนับสนุนคีย์ PacRequestorEnforcement และไม่ได้อ่านอีกต่อไป

9 พฤศจิกายน 2021: ระยะการปรับใช้ครั้งแรก

ระยะการปรับใช้ครั้งแรกเริ่มต้นด้วยการอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 9 พฤศจิกายน 2021 รุ่นนี้:

เพิ่มการป้องกัน CVE-2021-42287
เพิ่มการสนับสนุนสําหรับค่ารีจิสทรี PacRequestorEnforcement ซึ่งช่วยให้คุณสามารถเปลี่ยนไปยังระยะการบังคับใช้ก่อน

การลดปัญหาประกอบด้วยการติดตั้งการอัปเดต Windows บนอุปกรณ์ทั้งหมดที่โฮสต์บทบาทตัวควบคุมโดเมนและตัวควบคุมโดเมนแบบอ่านอย่างเดียว (RODC)

12 กรกฎาคม 2022: ระยะการปรับใช้ที่สอง

ระยะการปรับใช้ครั้งที่สองจะเริ่มต้นด้วยการอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 12 กรกฎาคม 2022 ขั้นตอนนี้จะลบการตั้งค่า PacRequestorEnforcement เป็น 0 การตั้งค่า PacRequestorEnforcement เป็น 0 หลังจากติดตั้งการอัปเดตนี้จะมีผลเช่นเดียวกับการตั้งค่า PacRequestorEnforcement เป็น 1 ตัวควบคุมโดเมน (DC) จะอยู่ในโหมดการปรับใช้

หมาย เหตุ ขั้นตอนนี้ไม่จําเป็นถ้า PacRequestorEnforcement ไม่เคยถูกตั้งค่าเป็น 0 ในสภาพแวดล้อมของคุณ ระยะนี้ช่วยให้แน่ใจว่าลูกค้าที่ตั้งค่า PacRequestorEnforcement เป็น 0ให้ย้ายไปที่การตั้งค่า 1 ก่อนระยะเวลาการบังคับใช้

หมายเหตุ การอัปเดตนี้ถือว่าตัวควบคุมโดเมนทั้งหมดได้รับการอัปเดตด้วยการอัปเดต Windows เมื่อวันที่ 9 พฤศจิกายน 2021 หรือใหม่กว่า

11 ตุลาคม 2022: ระยะการบังคับใช้ - (อัปเดตเมื่อ 31/1/23)

การเผยแพร่ในวันที่ 11 ตุลาคม 2022 จะเปลี่ยนตัวควบคุมโดเมน Active Directory ทั้งหมดเป็นระยะการบังคับใช้ ขั้นตอนการบังคับใช้จะเลิกใช้คีย์ PacRequestorEnforcement และไม่อ่านอีกต่อไป ด้วยเหตุนี้ ตัวควบคุมโดเมน Windows ที่ติดตั้งการอัปเดตของวันที่ 11 ตุลาคม 2022 จะไม่สามารถใช้งานร่วมกับ:

ตัวควบคุมโดเมนที่ไม่ได้ติดตั้งการอัปเดตของวันที่ 9 พฤศจิกายน 2021 หรือใหม่กว่า
ตัวควบคุมโดเมนที่ติดตั้งการอัปเดตวันที่ 9 พฤศจิกายน 2021 หรือใหม่กว่า แต่ยังไม่ได้ติดตั้งการอัปเดตของวันที่ 12 กรกฎาคม 2022 และที่มีค่ารีจิสทรี PacRequestorEnforcement เป็น 0

อย่างไรก็ตาม ตัวควบคุมโดเมน Windows ที่ติดตั้งการอัปเดตของวันที่ 11 ตุลาคม 2022 จะยังคงเข้ากันได้กับ:

ตัวควบคุมโดเมน Windows ที่ติดตั้งการอัปเดตวันที่ 11 ตุลาคม 2022 หรือใหม่กว่า
ตัวควบคุมโดเมนหน้าต่างที่ติดตั้งการอัปเดต^{วันที่ 9 พฤศจิกายน} 2021 หรือใหม่กว่า และมีค่า PacRequestorEnforcement หรือ 1 หรือ 2

ข้อมูลรีจิสทรีคีย์

หลังจากติดตั้งการป้องกัน CVE-2021-42287 ในการอัปเดต Windows ที่เผยแพร่ระหว่างวันที่ 9 พฤศจิกายน 2021 ถึง 14 มิถุนายน 2022 รีจิสทรีคีย์ต่อไปนี้จะพร้อมใช้งาน:

คีย์ย่อยรีจิสทรี	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
ค่า	PacRequestorEnforcement
ชนิดข้อมูล	Reg_dword
ข้อมูล	1: เพิ่ม PAC ใหม่ให้กับผู้ใช้ที่รับรองความถูกต้องโดยใช้ตัวควบคุมโดเมน Active Directory ที่ติดตั้งการอัปเดตวันที่ 9 พฤศจิกายน 2021 หรือใหม่กว่า เมื่อรับรองความถูกต้อง ถ้าผู้ใช้มี PAC ใหม่ PAC จะได้รับการตรวจสอบความถูกต้อง หากผู้ใช้ไม่มี PAC ใหม่ จะไม่มีการดําเนินการใดๆ ตัวควบคุมโดเมน Active Directory ในโหมดนี้อยู่ในขั้นตอนการปรับใช้ 2: เพิ่ม PAC ใหม่ให้กับผู้ใช้ที่รับรองความถูกต้องโดยใช้ตัวควบคุมโดเมน Active Directory ที่ติดตั้งการอัปเดตวันที่ 9 พฤศจิกายน 2021 หรือใหม่กว่า เมื่อรับรองความถูกต้อง ถ้าผู้ใช้มี PAC ใหม่ PAC จะได้รับการตรวจสอบความถูกต้อง หากผู้ใช้ไม่มี PAC ใหม่ การรับรองความถูกต้องจะถูกปฏิเสธ ตัวควบคุมโดเมน Active Directory ในโหมดนี้อยู่ในขั้นตอนการบังคับใช้ 0: ปิดใช้งานรีจิสทรีคีย์ ไม่แนะนํา ตัวควบคุมโดเมน Active Directory ในโหมดนี้อยู่ในระยะปิดใช้งาน ค่านี้จะไม่อยู่หลังจากการอัปเดตของวันที่ 12 กรกฎาคม 2022 หรือใหม่กว่า สำคัญ การตั้งค่า 0 เข้ากันไม่ได้กับการตั้งค่า 2 อาจเกิดความล้มเหลวเป็นครั้งคราวหากใช้การตั้งค่าทั้งสองอย่างภายในฟอเรสต์ ถ้าใช้การตั้งค่า 0 เราขอแนะนําให้คุณเปลี่ยนการตั้งค่า 0 (ปิดใช้งาน) เป็นการตั้งค่า 1 (การปรับใช้) อย่างน้อยหนึ่งสัปดาห์ก่อนที่จะย้ายไปยังการตั้งค่า 2 (โหมดการบังคับใช้)
ค่าเริ่มต้น	1 (เมื่อไม่ได้ตั้งค่ารีจิสทรีคีย์)
จําเป็นต้องเริ่มระบบใหม่หรือไม่	ไม่ใช่

เหตุการณ์การตรวจสอบ

Windows Update ของวันที่ 9 พฤศจิกายน 2021 จะเพิ่มบันทึกเหตุการณ์ใหม่ด้วย

PAC ที่ไม่มีแอตทริบิวต์

KDC พบ TGT ที่ไม่มีบัฟเฟอร์แอตทริบิวต์ PAC อาจเป็นไปได้ว่า KDC อื่นๆ ในแฟ้มบันทึกไม่มีการปรับปรุงหรืออยู่ในโหมดปิดใช้งาน

บันทึกเหตุการณ์	ระบบ
ชนิดเหตุการณ์	คำเตือน
แหล่งของเหตุการณ์	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID เหตุการณ์	35
ข้อความเหตุการณ์	Key Distribution Center (KDC) พบ ticket-granting-ticket (TGT) จาก KDC อื่น ("<KDC Name>") ที่ไม่มีเขตข้อมูลแอตทริบิวต์ PAC

ตั๋วที่ไม่มี PAC

KDC พบ TGT หรือตั๋วหลักฐานอื่น ๆ โดยไม่มี PAC ซึ่งป้องกันไม่ให้ KDC บังคับใช้การตรวจสอบความปลอดภัยบนตั๋ว

บันทึกเหตุการณ์	ระบบ
ชนิดเหตุการณ์	คําเตือนระหว่างระยะการปรับใช้ ข้อผิดพลาดระหว่างขั้นตอนการบังคับใช้
แหล่งของเหตุการณ์	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID เหตุการณ์	36
ข้อความเหตุการณ์	Key Distribution Center (KDC) พบตั๋วที่ไม่มี PAC ขณะประมวลผลคําขอสําหรับตั๋วอื่น ซึ่งป้องกันการตรวจสอบความปลอดภัยจากการเรียกใช้และอาจเปิดช่องโหว่ด้านความปลอดภัย ไคลเอ็นต์:> ชื่อโดเมน<\<ชื่อผู้ใช้> ตั๋วสําหรับ:> ชื่อบริการ<

ตั๋วที่ไม่มีผู้ขอ

KDC พบ TGT หรือตั๋วหลักฐานอื่นๆ โดยไม่มีบัฟเฟอร์ PAC Requestor อาจเป็นไปได้ว่า KDC ที่สร้าง PAC ไม่มีการอัปเดตหรืออยู่ในโหมดปิดใช้งาน

หมาย เหตุ ดูที่ส่วน ปัญหาที่ทราบ สําหรับ ข้อมูลสําคัญเกี่ยวกับเหตุการณ์ 37

บันทึกเหตุการณ์	ระบบ
ชนิดเหตุการณ์	คําเตือนระหว่างระยะการปรับใช้ ข้อผิดพลาดระหว่างขั้นตอนการบังคับใช้
แหล่งของเหตุการณ์	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID เหตุการณ์	37
ข้อความเหตุการณ์	ศูนย์การแจกจ่ายคีย์ (KDC) พบตั๋วที่ไม่มีข้อมูลเกี่ยวกับบัญชีที่ร้องขอตั๋วขณะประมวลผลคําขอสําหรับตั๋วอื่น ซึ่งป้องกันการตรวจสอบความปลอดภัยจากการเรียกใช้และอาจเปิดช่องโหว่ด้านความปลอดภัย Ticket PAC สร้างขึ้นโดย: <ชื่อ KDC> ไคลเอ็นต์: <ชื่อโดเมน>\<> ชื่อไคลเอ็นต์ ตั๋วสําหรับ:> ชื่อบริการ<

ผู้ร้องขอไม่ตรงกัน

KDC พบ TGT หรือตั๋วหลักฐานอื่น ๆ และบัญชีที่ขอ TGT หรือตั๋วหลักฐานไม่ตรงกับบัญชีที่บัตรบริการสร้างขึ้น

บันทึกเหตุการณ์	ระบบ
ชนิดเหตุการณ์	ข้อผิดพลาด
แหล่งของเหตุการณ์	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID เหตุการณ์	38
ข้อความเหตุการณ์	ศูนย์การแจกจ่ายคีย์ (KDC) พบตั๋วที่มีข้อมูลที่ไม่สอดคล้องกันเกี่ยวกับบัญชีที่ร้องขอตั๋ว นี่อาจหมายความว่าบัญชีถูกเปลี่ยนชื่อตั้งแต่ออกตั๋วซึ่งอาจเป็นส่วนหนึ่งของการแสวงหาผลประโยชน์ที่พยายาม Ticket PAC สร้างขึ้นโดย: <ชื่อ Kdc> ไคลเอ็นต์:> ชื่อโดเมน<\<ชื่อผู้ใช้> ตั๋วสําหรับ:> ชื่อบริการ< การร้องขอ SID ของบัญชีผู้ใช้จาก Active Directory: <> SID การขอ SID บัญชีจากตั๋ว: <> SID

ปัญหาที่ทราบแล้ว

อาการ	วิธีแก้ไขปัญหา
หลังจากติดตั้งการอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 9 พฤศจิกายน 2021 หรือใหม่กว่าบนตัวควบคุมโดเมน (DC) ลูกค้าบางรายอาจเห็นรหัสเหตุการณ์การตรวจสอบใหม่ที่ 37 บันทึกไว้หลังจากการตั้งค่ารหัสผ่านหรือเปลี่ยนแปลงการดําเนินการบางอย่าง เช่น: อัปเดตหรือซ่อมแซม CNO หรือ VCO ของคลัสเตอร์ที่ย้ายเมื่อเกิดข้อผิดพลาด รีเซ็ตรหัสผ่านของผู้ใช้จากคอนโซล ผู้ใช้และคอมพิวเตอร์ Active Directory (dsa.msc) สร้างผู้ใช้ใหม่จากคอนโซล ผู้ใช้และคอมพิวเตอร์ Active Directory (dsa.msc) เปลี่ยนรหัสผ่านสําหรับอุปกรณ์ที่เข้าร่วมโดเมนของบริษัทอื่น หากคุณไม่เห็นรหัสเหตุการณ์ 37 หลังจากติดตั้งการอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 9 พฤศจิกายน 2021 หรือหลังจากนั้นเป็นเวลาหนึ่งสัปดาห์ และ PacRequestorEnforcement เป็น '1' หรือ '2' สภาพแวดล้อมของคุณจะไม่ได้รับผลกระทบ ถ้าคุณตั้งค่า PacRequestorEnforcement = 1 รหัสเหตุการณ์ 37 จะถูกบันทึกเป็นคําเตือน แต่คําขอเปลี่ยนรหัสผ่านจะสําเร็จและจะไม่ส่งผลกระทบต่อผู้ใช้ ถ้าคุณตั้งค่า PacRequestorEnforcement = 2 การร้องขอการเปลี่ยนรหัสผ่านจะล้มเหลว และจะทําให้การดําเนินการที่แสดงอยู่ด้านบนล้มเหลว	ปัญหานี้ได้รับการแก้ไขแล้วในการอัปเดตต่อไปนี้: Windows 11 - KB5011563 Windows Server 2022 - KB5011558 Windows 10 เวอร์ชัน 20H2 Windows 10 เวอร์ชัน 21H1 และ Windows 10 เวอร์ชัน 21H2 - KB5011543 Windows 10 เวอร์ชัน 1809 และ Windows Server 2019 - KB5011551 Windows 10 เวอร์ชัน 1607 และ Windows Server 2016 - KB5012596 Windows Server 2012 R2 - KB5012670 Windows Server 2012 - KB5012666 Windows Server 2008 R2 - KB5012649 Windows Server 2008 SP2 - KB5012632

อาการ

วิธีแก้ไขปัญหา

หลังจากติดตั้งการอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 9 พฤศจิกายน 2021 หรือใหม่กว่าบนตัวควบคุมโดเมน (DC) ลูกค้าบางรายอาจเห็นรหัสเหตุการณ์การตรวจสอบใหม่ที่ 37 บันทึกไว้หลังจากการตั้งค่ารหัสผ่านหรือเปลี่ยนแปลงการดําเนินการบางอย่าง เช่น:

อัปเดตหรือซ่อมแซม CNO หรือ VCO ของคลัสเตอร์ที่ย้ายเมื่อเกิดข้อผิดพลาด
รีเซ็ตรหัสผ่านของผู้ใช้จากคอนโซล ผู้ใช้และคอมพิวเตอร์ Active Directory (dsa.msc)
สร้างผู้ใช้ใหม่จากคอนโซล ผู้ใช้และคอมพิวเตอร์ Active Directory (dsa.msc)
เปลี่ยนรหัสผ่านสําหรับอุปกรณ์ที่เข้าร่วมโดเมนของบริษัทอื่น

หากคุณไม่เห็นรหัสเหตุการณ์ 37 หลังจากติดตั้งการอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 9 พฤศจิกายน 2021 หรือหลังจากนั้นเป็นเวลาหนึ่งสัปดาห์ และ PacRequestorEnforcement เป็น '1' หรือ '2' สภาพแวดล้อมของคุณจะไม่ได้รับผลกระทบ

ถ้าคุณตั้งค่า PacRequestorEnforcement = 1 รหัสเหตุการณ์ 37 จะถูกบันทึกเป็นคําเตือน แต่คําขอเปลี่ยนรหัสผ่านจะสําเร็จและจะไม่ส่งผลกระทบต่อผู้ใช้

ถ้าคุณตั้งค่า PacRequestorEnforcement = 2 การร้องขอการเปลี่ยนรหัสผ่านจะล้มเหลว และจะทําให้การดําเนินการที่แสดงอยู่ด้านบนล้มเหลว

ปัญหานี้ได้รับการแก้ไขแล้วในการอัปเดตต่อไปนี้:

Windows 11 - KB5011563
Windows Server 2022 - KB5011558
Windows 10 เวอร์ชัน 20H2 Windows 10 เวอร์ชัน 21H1 และ Windows 10 เวอร์ชัน 21H2 - KB5011543
Windows 10 เวอร์ชัน 1809 และ Windows Server 2019 - KB5011551
Windows 10 เวอร์ชัน 1607 และ Windows Server 2016 - KB5012596
Windows Server 2012 R2 - KB5012670
Windows Server 2012 - KB5012666
Windows Server 2008 R2 - KB5012649
Windows Server 2008 SP2 - KB5012632

คำถามที่ถามบ่อย

คําถามที่ 1 จะเกิดอะไรขึ้นถ้าฉันมีตัวควบคุมโดเมน Active Directory หลายตัวผสมกันซึ่งได้รับการอัปเดตและไม่ได้รับการอัปเดต

A1. ส่วนผสมของตัวควบคุมโดเมนที่ได้รับการอัปเดตและไม่ได้รับการอัปเดต แต่มีค่ารีจิสทรีคีย์ PacRequestorEnforcement เริ่มต้นที่ 1 เข้ากันได้ อย่างไรก็ตาม Microsoft ขอแนะนําอย่างยิ่งไม่ให้มีตัวควบคุมโดเมนที่ได้รับการอัปเดตและไม่ได้รับการอัปเดตในสภาพแวดล้อม

คําถามที่ 2 จะเกิดอะไรขึ้นถ้าฉันมีตัวควบคุมโดเมน Active Directory ที่มีค่า PacRequestorEnforcement หลายค่าผสมกัน

A2. ส่วนผสมของตัวควบคุมโดเมนที่มีค่า PacRequestorEnforcement เป็น 0 และ 1 เข้ากันได้ ส่วนผสมของตัวควบคุมโดเมนที่มีค่า PacRequestorEnforcement ของ 1 และ 2 เข้ากันได้ ส่วนผสมของตัวควบคุมโดเมนที่มีค่า PacRequestorEnforcement เป็น 0 และ 2 เข้ากันไม่ได้ และอาจทําให้เกิดความล้มเหลวเป็นครั้งคราว โปรดดูส่วน ข้อมูลรีจิสทรีคีย์ สําหรับรายละเอียดเพิ่มเติม