KB5008380 – оновлення автентифікації (CVE-2021-42287)

Зведення

CVE-2021-42287 усуває вразливість обходу системи безпеки, яка впливає на сертифікат привілейованого атрибута Kerberos (PAC) і дозволяє потенційним зловмисникам уособлювати контролери домену. Щоб скористатися цією вразливістю, зламаний обліковий запис домену може призвести до створення квитка на обслуговування з вищим рівнем прав, ніж обліковий запис, порушеного безпекою, центром розподілу ключів (KDC). Вона досягає цього, запобігаючи KDC визначити, для якого облікового запису призначено квиток на вищу привілейовану послугу.

Покращений процес автентифікації в CVE-2021-42287 додає нові відомості про вихідного запитувача до PACS Kerberos Ticket-Granting Tickets (TGT). Пізніше, коли для облікового запису створиться запит служби Kerberos, новий процес автентифікації перевірить, що обліковий запис, який запитав TGT, – це той самий обліковий запис, на який посилається запит на обслуговування.

Після інсталяції оновлень Windows, випущених 9 листопада 2021 року або пізнішої версії, PACs буде додано до TGT всіх облікових записів доменів, навіть тих, які раніше вирішили відхилити PACs.

Вжити заходів

Щоб захистити середовище та уникнути перебоїв, виконайте такі дії:

Оновіть усі пристрої, на яких розміщено роль контролера домену Active Directory, інсталювавши оновлення системи безпеки від 9 листопада 2021 року та оновлення OOB від 14 листопада 2021 року. Знайдіть номер OOB KB для певної ОС нижче.

ОС	Номер KB
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 з пакетом оновлень 1 (SP1)	5008605
Windows Server 2008 SP2	5008606

Після інсталяції оновлення системи безпеки від 9 листопада 2021 року та оновлення OOB від 14 листопада 2021 року на всіх контролерах домену Active Directory принаймні на 7 днів ми наполегливо радимо ввімкнути режим примусового застосування на всіх контролерах домену Active Directory.
Починаючи з (оновлено) 11 жовтня 2022 примусового етапу оновлення, примусове застосування режим буде ввімкнуто на всіх контролерах домену Windows і буде необхідно.

Хронометраж оновлень Windows – (Оновлено 31.01.23)

Ці Оновлення Windows буде випущено в три етапи:

Початкове розгортання – введення оновлення, а також розділ реєстру PacRequestorEnforcement
Друге розгортання – видалення значення PacRequestorEnforcement 0 (можливість вимкнути розділ реєстру)
Етап примусового застосування– активовано режим примусового застосування. Цей етап вилучає ключ PacRequestorEnforcement і більше не читає його

9 листопада 2021 р.: початковий етап розгортання

Початковий етап розгортання починається з оновлення Windows, випущеного 9 листопада 2021 року. Цей випуск:

Додано захист від CVE-2021-42287
Додано підтримку значення реєстру PacRequestorEnforcement , яке дає змогу перейти до етапу примусового виконання раніше

Зниження ризику складається з інсталяції оновлень Windows на всіх пристроях, на яких розміщено роль контролера домену та контролери домену лише для читання (RODCs).

12 липня 2022 р.: другий етап розгортання

Другий етап розгортання починається з оновлення Windows, випущеного 12 липня 2022 року. Цей етап видаляє параметр PacRequestorEnforcement 0. Параметр PacRequestorEnforcement значення 0 після інсталяції цього оновлення матиме такий самий ефект, як і для параметра PacRequestorEnforcement значення 1. Контролери домену (DCs) будуть у режимі розгортання.

Примітка Цей етап не потрібен, якщо в середовищі PacRequestorEnforcement ніколи не було встановлено значення 0. Цей етап гарантує, що клієнти, які встановили для PacRequestorEnforcement значення 0, перемістяться до параметра 1 до етапу примусового застосування.

Нотатка Це оновлення передбачає, що всі контролери домену оновлюються з 9 листопада 2021 р. або пізнішої версії оновлення Windows.

11 жовтня 2022: Етап примусового виконання - (Оновлено 31.01.23)

Випуск від 11 жовтня 2022 року переключить усіх контролерів домену Active Directory на етап примусового виконання. Етап примусового застосування не підтримує ключ PacRequestorEnforcement і більше не читає його. Тому контролери домену Windows, які інсталювали оновлення від 11 жовтня 2022 р., більше не будуть сумісні з:

Контролери домену, які не інсталювали оновлення від 9 листопада 2021 р. або пізнішої версії.
Контролери домену, які інсталювали оновлення від 9 листопада 2021 року або пізнішої версії, але ще не інсталювали оновлення від 12 липня 2022 р. та які мають значення реєстру PacRequestorEnforcement 0.

Однак контролери домену Windows, які інсталювали оновлення від 11 жовтня 2022 року, залишаться сумісними з:

Контролери домену Windows, на яких інстальовано оновлення від 11 жовтня 2022 р. або пізнішої версії
Контролери домену Window, які інсталювали оновлення^від 9 листопада 2021 р. або пізнішої версії та мають значення PacRequestorEnforcement або 1 або 2

Відомості розділу реєстру

Після інсталяції захисту CVE-2021-42287 в оновленнях Windows, випущених у період з 9 листопада 2021 року по 14 червня 2022 року, буде доступний такий розділ реєстру:

Підрозділ реєстру	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Значення	PacRequestorEnforcement
Тип даних	REG_DWORD
Дані	1. Додайте новий PAC для користувачів, які автентифікували за допомогою контролера домену Active Directory, на якому інстальовано оновлення від 9 листопада 2021 року або пізнішої версії. Під час автентифікації, якщо користувач має новий PAC, PAC перевіряється. Якщо в користувача немає нового PAC-файлу, подальших дій не буде виконано. Контролери домену Active Directory в цьому режимі перебувають на етапі розгортання. 2. Додайте новий PAC для користувачів, які автентифікували за допомогою контролера домену Active Directory, на якому інстальовано оновлення від 9 листопада 2021 р. або пізнішої версії. Під час автентифікації, якщо користувач має новий PAC, PAC перевіряється. Якщо в користувача немає нового PAC-файлу, автентифікацію заборонено. Контролери домену Active Directory в цьому режимі перебувають на етапі примусового виконання. 0. Вимикає розділ реєстру. Не рекомендовано. Контролери домену Active Directory в цьому режимі перебувають на етапі Вимкнуто. Це значення не існуватиме після оновлення від 12 липня 2022 р. або пізнішої версії. Важливо Параметр 0 несумісний із параметром 2. Періодичні помилки можуть виникати, якщо обидва параметри використовуються в лісі. Якщо використовується параметр 0, радимо встановити для параметра 0 (Вимкнути) значення 1 (розгортання) принаймні за тиждень до переходу до параметра 2 (режим примусового застосування).
За замовчуванням	1 (якщо розділ реєстру не встановлено)
Чи потрібне перезавантаження?	Ні

Події аудиту

Оновлення Windows від 9 листопада 2021 р. також додасть нові журнали подій.

PAC без атрибутів

KDC виявляє TGT без буфера PAC Attribute. Імовірно, інший KDC в журналах не містить оновлення або перебуває в неактивному режимі.

Журнал подій	Система
Тип події	Попередження
Джерело події	Microsoft-Windows-Kerberos-Key-Distribution-Center
Ідентифікатор події	35
Текст події	Центр ключових розсилки (KDC) виявив квиток-грантовий квиток (TGT) з іншого KDC ("<ім'я KDC>"), який не містив поле PAC-атрибутів.

Квиток без PAC

KDC стикається з TGT або іншим доказом квиток без PAC. Це не дозволить KDC забезпечити перевірку безпеки квитка.

Журнал подій	Система
Тип події	Попередження на етапі розгортання Помилка під час етапу примусового виконання
Джерело події	Microsoft-Windows-Kerberos-Key-Distribution-Center
Ідентифікатор події	36
Текст події	Центр ключових розсилки (KDC) виявив квиток, який не містив PAC під час обробки запиту на інший квиток. Це запобігло перевірці безпеки та може відкрити вразливості системи безпеки. Клієнт: <ім'я домену>\<ім'я користувача> Квиток на: <ім'я служби>

Квиток без ініціатора запиту

KDC виявляє TGT або інший квиток доказів без буфера PAC Requestor. Імовірно, KDC, який сконструював PAC, не містить оновлення або перебуває в неактивному режимі.

Примітка Важливу інформацію про подію 37 див. в розділі Відомі проблеми .

Журнал подій	Система
Тип події	Попередження на етапі розгортання Помилка під час етапу примусового виконання
Джерело події	Microsoft-Windows-Kerberos-Key-Distribution-Center
Ідентифікатор події	37
Текст події	У Центрі розподілу ключів (KDC) виявлено квиток, який не містить відомостей про обліковий запис, який запитав квиток під час обробки запиту на інший квиток. Це запобігло перевірці безпеки та може відкрити вразливості системи безпеки. Квиток PAC побудований: <ім'я KDC> Клієнт: <ім'я домену>\<ім'я клієнта> Квиток на: <ім'я служби>

Невідповідність запиту

KDC стикається з TGT або іншим запитом доказів, і обліковий запис, який запитав TGT або доказовий квиток, не відповідає обліковому запису, для якого побудовано квиток на обслуговування.

Журнал подій	Система
Тип події	Помилка
Джерело події	Microsoft-Windows-Kerberos-Key-Distribution-Center
Ідентифікатор події	38
Текст події	Центр розподілу ключів (KDC) виявив квиток, який містив несумісні відомості про обліковий запис, який запитав квиток. Це може означати, що обліковий запис перейменовано з моменту видачі квитка, який, можливо, був частиною спроби експлойта. Квиток PAC побудований: <Kdc ім'я> Клієнт: <ім'я домену>\<ім'я користувача> Квиток на: <ім'я служби> Запит sid облікового запису зі служби Active Directory: <SID> Запит облікового запису SID із квитка: <SID>

Відомі проблеми

Проблема	Тимчасове вирішення
Після інсталяції оновлень Windows, випущених 9 листопада 2021 р. або пізнішої версії на контролерах домену (DCs), деякі клієнти можуть бачити новий ідентифікатор події аудиту 37, зареєстрований після певних настройок пароля або операцій змінення, наприклад: Оновлення або відновлення резервного кластера CNO або VCO Скидання пароля користувача з консолі Active Directory - користувачі й комп'ютери (dsa.msc) Створення нового користувача з консолі Active Directory - користувачі й комп'ютери (dsa.msc) Змінення пароля для сторонніх пристроїв, підключених до домену Якщо подія з ідентифікатором 37 не відображається після інсталяції оновлень Windows, випущених 9 листопада 2021 р. або пізнішої версії протягом тижня, а PacRequestorEnforcement – "1" або "2", це не вплине на ваше середовище. Якщо встановити PacRequestorEnforcement = 1, подія з ідентифікатором 37 записується як попередження, але запити на змінення пароля будуть успішними та не впливатимуть на користувачів. Якщо ви встановите PacRequestorEnforcement = 2, запити на змінення пароля не вдасться і призведе до помилки операцій, перелічених вище.	Цю проблему вирішено в таких оновленнях: Windows 11 – KB5011563 Windows Server 2022 – KB5011558 Windows 10 версії 20H2, Windows 10 версії 21H1 і Windows 10 версії 21H2 – KB5011543 Windows 10 версії 1809 і Windows Server 2019 – KB5011551 Windows 10 версії 1607 і Windows Server 2016 – KB5012596 Windows Server 2012 R2 – KB5012670 Windows Server 2012 – KB5012666 Windows Server 2008 R2 – KB5012649 Windows Server 2008 SP2 – KB5012632

Проблема

Тимчасове вирішення

Після інсталяції оновлень Windows, випущених 9 листопада 2021 р. або пізнішої версії на контролерах домену (DCs), деякі клієнти можуть бачити новий ідентифікатор події аудиту 37, зареєстрований після певних настройок пароля або операцій змінення, наприклад:

Оновлення або відновлення резервного кластера CNO або VCO
Скидання пароля користувача з консолі Active Directory - користувачі й комп'ютери (dsa.msc)
Створення нового користувача з консолі Active Directory - користувачі й комп'ютери (dsa.msc)
Змінення пароля для сторонніх пристроїв, підключених до домену

Якщо подія з ідентифікатором 37 не відображається після інсталяції оновлень Windows, випущених 9 листопада 2021 р. або пізнішої версії протягом тижня, а PacRequestorEnforcement – "1" або "2", це не вплине на ваше середовище.

Якщо встановити PacRequestorEnforcement = 1, подія з ідентифікатором 37 записується як попередження, але запити на змінення пароля будуть успішними та не впливатимуть на користувачів.

Якщо ви встановите PacRequestorEnforcement = 2, запити на змінення пароля не вдасться і призведе до помилки операцій, перелічених вище.

Цю проблему вирішено в таких оновленнях:

Windows 11 – KB5011563
Windows Server 2022 – KB5011558
Windows 10 версії 20H2, Windows 10 версії 21H1 і Windows 10 версії 21H2 – KB5011543
Windows 10 версії 1809 і Windows Server 2019 – KB5011551
Windows 10 версії 1607 і Windows Server 2016 – KB5012596
Windows Server 2012 R2 – KB5012670
Windows Server 2012 – KB5012666
Windows Server 2008 R2 – KB5012649
Windows Server 2008 SP2 – KB5012632

Запитання й відповіді

1. Що відбувається, якщо в мене є суміш контролерів домену Active Directory, які оновлюються та не оновлюються?

A1. Поєднання контролерів домену, які оновлюються та не оновлюються, але мають значення 1 розділу реєстру PacRequestorEnforcement за промовчанням, сумісні один з одним. Однак корпорація Майкрософт наполегливо радить не мати контролери домену, які оновлюються та не оновлюються в середовищі.

2. Що станеться, якщо в мене є суміш контролерів домену Active Directory, які мають різні значення PacRequestorEnforcement?

A2. Поєднання контролерів домену, які мають значення PacRequestorEnforcement 0 і 1, сумісні між собою. Поєднання контролерів домену, які мають значення PacRequestorEnforcement 1 і 2, сумісні між собою. Поєднання контролерів домену, які мають значення PacRequestorEnforcement 0 і 2 , несумісні один з одним і можуть викликати періодичні помилки. Докладні відомості див. в розділі Відомості про розділ реєстру.