KB5008380—Bản cập nhật xác thực (CVE-2021-42287)

Tóm tắt

CVE-2021-42287 khắc phục lỗ hổng bỏ qua bảo mật ảnh hưởng đến Chứng chỉ Thuộc tính Đặc quyền Kerberos (PAC) và cho phép những kẻ tấn công tiềm năng mạo danh bộ kiểm soát miền. Để khai thác lỗ hổng này, một tài khoản tên miền bị xâm phạm có thể gây ra các khóa phân phối trung tâm (KDC) để tạo ra một vé dịch vụ với một mức đặc quyền cao hơn so với tài khoản bị xâm phạm. Nó thực hiện điều này bằng cách ngăn chặn KDC xác định tài khoản các đặc quyền cao hơn dịch vụ vé cho.

Quy trình xác thực được cải thiện trong CVE-2021-42287 thêm thông tin mới về trình yêu cầu ban đầu cho PAC của Kerberos Ticket-Granting Vé (TGT). Sau đó, khi một phiếu dịch vụ Kerberos được tạo cho một tài khoản, quá trình xác thực mới sẽ xác minh rằng tài khoản yêu cầu TGT là cùng một tài khoản được tham chiếu trong phiếu dịch vụ.

Sau khi cài đặt các bản cập nhật Windows ngày 9 tháng 11 năm 2021 trở lên, PAC sẽ được thêm vào TGT của tất cả các tài khoản miền, ngay cả những tài khoản trước đây đã chọn từ chối PAC.

Thực hiện hành động

Để bảo vệ môi trường của bạn và tránh mất điện, vui lòng hoàn thành các bước sau:

Cập nhật tất cả các thiết bị lưu trữ vai trò bộ kiểm soát miền Active Directory bằng cách cài đặt bản cập nhật bảo mật ngày 9 tháng 11 năm 2021 và bản cập nhật ngày 14 tháng 11 năm 2021 (OOB). Tìm số KB OOB cho HĐH cụ thể của bạn bên dưới.

HĐH	Số KB
Windows Server 2016	5008601
Windows Server 2019	5008602
Windows Server 2012 R2	5008603
Windows Server 2012	5008604
Windows Server 2008 R2 SP1	5008605
Windows Server 2008 SP2	5008606

Sau khi cài đặt bản cập nhật bảo mật ngày 9 tháng 11 năm 2021 và bản cập nhật OOB ngày 14 tháng 11 năm 2021 trên tất cả bộ kiểm soát miền Active Directory trong ít nhất 7 ngày, chúng tôi đặc biệt khuyên bạn nên bật chế độ Thực thi trên tất cả các bộ kiểm soát miền Active Directory.
Bắt đầu từ bản cập nhật Giai đoạn Thực thi vào ngày 11 tháng 10 năm 2022 (cập nhật), chế độ Thực thi sẽ được bật trên tất cả các bộ kiểm soát miền Windows và sẽ được yêu cầu.

Thời gian cập nhật Windows - (Cập nhật vào 31/01/23)

Các bản cập Cập nhật Windows này sẽ được phát hành theo ba giai đoạn:

Triển khai ban đầu – Giới thiệu về bản cập nhật cũng như khóa đăng ký PacRequestorEnforcement
Triển khai thứ hai – Loại bỏ giá trị PacRequestorEnforcement là 0 (khả năng vô hiệu hóa khóa đăng ký)
Giai đoạn thực thi – Chế độ thực thi được bật. Giai đoạn này phản đối khóa PacRequestorEnforcement và không còn đọc

Ngày 9 tháng 11 năm 2021: Giai đoạn triển khai ban đầu

Giai đoạn triển khai ban đầu bắt đầu với bản cập nhật Windows được phát hành vào ngày 9 tháng 11 năm 2021. Bản phát hành này:

Thêm tính năng bảo vệ chống lại CVE-2021-42287
Thêm hỗ trợ cho giá trị đăng ký PacRequestorEnforcement , cho phép bạn chuyển sang giai đoạn Thực thi sớm

Giảm thiểu bao gồm việc cài đặt các bản cập nhật Windows trên tất cả các thiết bị lưu trữ vai trò bộ kiểm soát miền và bộ kiểm soát miền chỉ đọc (RODC).

Ngày 12 tháng 7 năm 2022: Giai đoạn triển khai thứ hai

Giai đoạn triển khai thứ hai bắt đầu với bản cập nhật Windows được phát hành vào ngày 12 tháng 7 năm 2022. Giai đoạn này loại bỏ cài đặt PacRequestorEnforcement là 0. Việc đặt PacRequestorEnforcement về 0 sau khi cài đặt bản cập nhật này sẽ có hiệu lực tương tự như cài đặt PacRequestorEnforcement thành 1. Bộ kiểm soát miền (DCs) sẽ ở chế độ Triển khai.

Lưu ý Giai đoạn này là không cần thiết nếu PacRequestorEnforcement không bao giờ được đặt thành 0 trong môi trường của bạn. Giai đoạn này giúp đảm bảo rằng khách hàng đặt PacRequestorEnforcement thành 0chuyển sang cài đặt 1 trước giai đoạn Thực thi.

Lưu ý Bản cập nhật này giả định rằng tất cả các bộ kiểm soát miền đều được cập nhật bản cập nhật Windows ngày 9 tháng 11 năm 2021 trở lên.

Ngày 11 tháng 10 năm 2022: Giai đoạn thực thi - (Cập nhật 31/1/23)

Bản phát hành ngày 11 tháng 10 năm 2022 sẽ chuyển tất cả các bộ kiểm soát miền Active Directory sang giai đoạn Thực thi. Giai đoạn Thực thi không còn sử dụng khóa PacRequestorEnforcement và không còn đọc khóa đó nữa. Do đó, bộ kiểm soát miền Windows đã cài đặt bản cập nhật ngày 11 tháng 10 năm 2022 sẽ không còn tương thích với:

Bộ kiểm soát miền không cài đặt bản cập nhật ngày 9 tháng 11 năm 2021 trở lên.
Bộ kiểm soát miền đã cài đặt các bản cập nhật ngày 9 tháng 11 năm 2021 trở lên nhưng chưa cài đặt bản cập nhật ngày 12 tháng 7 năm 2022 và có giá trị đăng ký PacRequestorEnforcement là 0.

Tuy nhiên, bộ kiểm soát miền Windows đã cài đặt bản cập nhật ngày 11 tháng 10 năm 2022 sẽ vẫn tương thích với:

Bộ kiểm soát miền Windows đã cài đặt các bản cập nhật ngày 11 tháng 10 năm 2022 trở lên
Bộ kiểm soát miền cửa sổ đã cài đặt bản cập nhật^{ngày 9 tháng} 11 năm 2021 trở lên và có giá trị PacRequestorEnforcement hoặc 1 hoặc 2

Thông tin khóa đăng ký

Sau khi cài đặt các tùy chọn bảo vệ CVE-2021-42287 trong các bản cập nhật Windows được phát hành từ ngày 9 tháng 11 năm 2021 đến ngày 14 tháng 6 năm 2022, khóa đăng ký sau sẽ có sẵn:

Khóa đăng ký phụ	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
Giá trị	PacRequestorEnforcement
Kiểu dữ liệu	REG_DWORD
Dữ liệu	1: Thêm PAC mới cho người dùng đã xác thực bằng bộ kiểm soát miền Active Directory đã cài đặt bản cập nhật ngày 9 tháng 11 năm 2021 trở lên. Khi xác thực, nếu người dùng có PAC mới, PAC sẽ được xác thực. Nếu người dùng không có PAC mới, không có hành động tiếp theo được thực hiện. Bộ kiểm soát miền Active Directory trong chế độ này đang trong giai đoạn Triển khai. 2: Thêm PAC mới cho người dùng đã xác thực bằng bộ kiểm soát miền Active Directory đã cài đặt bản cập nhật ngày 9 tháng 11 năm 2021 trở lên. Khi xác thực, nếu người dùng có PAC mới, PAC sẽ được xác thực. Nếu người dùng không có PAC mới, xác thực bị từ chối. Bộ kiểm soát miền Active Directory trong chế độ này đang trong giai đoạn Thực thi. 0: Tắt khóa đăng ký. Không khuyên dùng. Bộ kiểm soát miền Active Directory trong chế độ này đang ở giai đoạn Bị vô hiệu hóa. Giá trị này sẽ không tồn tại sau bản cập nhật ngày 12 tháng 7 năm 2022 trở lên. Quan trọng Cài đặt 0 không tương thích với cài đặt 2. Thất bại liên tục có thể xảy ra nếu cả hai thiết đặt được sử dụng trong một rừng. Nếu sử dụng cài đặt 0, chúng tôi khuyên bạn nên chuyển cài đặt 0 (Tắt) thành cài đặt 1 (Triển khai) ít nhất một tuần trước khi chuyển sang cài đặt 2 (Chế độ thực thi).
Mặc định	1 (khi chưa đặt khóa đăng ký)
Bạn có cần khởi động lại không?	Không

Sự kiện Kiểm tra

Bản cập nhật Windows ngày 9 tháng 11 năm 2021 cũng sẽ thêm nhật ký sự kiện mới.

PAC không có thuộc tính

KDC gặp một TGT mà không có bộ đệm thuộc tính PAC. Có khả năng các KDC khác trong nhật ký không chứa bản cập nhật hoặc ở chế độ Vô hiệu hóa.

Nhật ký Sự kiện	Hệ thống
Loại Sự kiện	Cảnh báo
Nguồn Sự kiện	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID Sự kiện	35
Văn bản Sự kiện	Trung tâm Phân phối Khóa (KDC) gặp phải phiếu cấp phiếu (TGT) từ một KDC khác ("<KDC Name>") không chứa trường thuộc tính PAC.

Vé không có PAC

KDC gặp phải một TGT hoặc phiếu bằng chứng khác mà không có một PAC. Điều này ngăn cản KDC thực thi kiểm tra an ninh trên vé.

Nhật ký Sự kiện	Hệ thống
Loại Sự kiện	Cảnh báo trong Giai đoạn Triển khai Lỗi trong Giai đoạn Thực thi
Nguồn Sự kiện	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID Sự kiện	36
Văn bản Sự kiện	Trung tâm phân phối khóa (KDC) gặp phải một vé mà không chứa PAC trong khi xử lý một yêu cầu cho một vé khác. Điều này ngăn việc kiểm tra bảo mật chạy và có thể mở các lỗ hổng bảo mật. Máy khách: <tên miền>\<tên người dùng> Vé cho: <Tên Dịch vụ>

Vé không có Người yêu cầu

KDC gặp phải một TGT hoặc phiếu bằng chứng khác mà không có bộ đệm PAC Requestor. Có khả năng là KDC mà xây dựng PAC không chứa bản cập nhật hoặc là trong chế độ vô hiệu hóa.

Lưu ý Hãy xem phần Sự cố đã biết để biết thông tin quan trọng về Sự kiện 37.

Nhật ký Sự kiện	Hệ thống
Loại Sự kiện	Cảnh báo trong Giai đoạn Triển khai Lỗi trong Giai đoạn Thực thi
Nguồn Sự kiện	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID Sự kiện	37
Văn bản Sự kiện	Trung tâm Phân phối Khóa (KDC) gặp phải phiếu không chứa thông tin về tài khoản đã yêu cầu vé trong khi xử lý yêu cầu mua vé khác. Điều này ngăn việc kiểm tra bảo mật chạy và có thể mở các lỗ hổng bảo mật. Ticket PAC xây dựng bởi: <KDC Name> Client: <Domain Name>\<Client Name> Vé cho: <Tên Dịch vụ>

Người yêu cầu Không khớp

KDC gặp phải một TGT hoặc phiếu bằng chứng khác, và tài khoản yêu cầu TGT hoặc phiếu bằng chứng không phù hợp với tài khoản mà vé dịch vụ được xây dựng cho.

Nhật ký Sự kiện	Hệ thống
Loại Sự kiện	Lỗi
Nguồn Sự kiện	Microsoft-Windows-Kerberos-Key-Distribution-Center
ID Sự kiện	38
Văn bản Sự kiện	Trung tâm Phân phối Khóa (KDC) gặp phải một vé chứa thông tin không nhất quán về tài khoản đã yêu cầu phiếu. Điều này có nghĩa là tài khoản đã được đổi tên kể từ khi phiếu được phát hành, có thể là một phần của một thủ đoạn khai thác đã cố gắng. Ticket PAC xây dựng bởi: <Kdc Name> Máy khách: <tên miền>\<tên người dùng> Vé cho: <Tên Dịch vụ> Yêu cầu SID Tài khoản từ Active Directory: <SID> Yêu cầu SID Tài khoản từ Vé: <SID>

Sự cố đã biết

Triệu chứng	Giải pháp
Sau khi cài đặt các bản cập nhật Windows được phát hành vào ngày 9 tháng 11 năm 2021 trở lên trên bộ kiểm soát miền (DC), một số khách hàng có thể thấy ID Sự kiện kiểm tra mới 37 được ghi nhật ký sau một số cài đặt mật khẩu hoặc các hoạt động thay đổi chẳng hạn như: Cập nhật hoặc Sửa chữa CNO hoặc VCO của cụm chuyển đổi dự phòng Đặt lại mật khẩu người dùng từ bảng điều khiển Người dùng và Máy tính Active Directory (dsa.msc) Tạo người dùng mới từ bảng điều khiển Người dùng và Máy tính Active Directory (dsa.msc) Thay đổi mật khẩu cho các thiết bị đã tham gia miền, bên thứ ba Nếu bạn không thấy ID Sự kiện 37 sau khi cài đặt các bản cập nhật Windows được phát hành ngày 9 tháng 11 năm 2021 trở lên trong một tuần và PacRequestorEnforcement là '1' hoặc '2', thì môi trường của bạn không bị ảnh hưởng. Nếu bạn đặt PacRequestorEnforcement = 1, ID Sự kiện 37 sẽ được ghi nhật ký như một cảnh báo nhưng yêu cầu thay đổi mật khẩu sẽ thành công và sẽ không ảnh hưởng đến người dùng. Nếu bạn đặt PacRequestorEnforcement = 2, các yêu cầu thay đổi mật khẩu sẽ không thành công và sẽ khiến các thao tác được liệt kê ở trên cũng không thành công.	Sự cố này đã được khắc phục trong các bản cập nhật sau: Windows 11 - KB5011563 Windows Server 2022 - KB5011558 Windows 10, phiên bản 20H2, Windows 10 phiên bản 21H1 và Windows 10, phiên bản 21H2 - KB5011543 Windows 10, phiên bản 1809 và Windows Server 2019 - KB5011551 Windows 10, phiên bản 1607 và Windows Server 2016 - KB5012596 Windows Server 2012 R2 - KB5012670 Windows Server 2012 - KB5012666 Windows Server 2008 R2 - KB5012649 Windows Server 2008 SP2 - KB5012632

Triệu chứng

Giải pháp

Sau khi cài đặt các bản cập nhật Windows được phát hành vào ngày 9 tháng 11 năm 2021 trở lên trên bộ kiểm soát miền (DC), một số khách hàng có thể thấy ID Sự kiện kiểm tra mới 37 được ghi nhật ký sau một số cài đặt mật khẩu hoặc các hoạt động thay đổi chẳng hạn như:

Cập nhật hoặc Sửa chữa CNO hoặc VCO của cụm chuyển đổi dự phòng
Đặt lại mật khẩu người dùng từ bảng điều khiển Người dùng và Máy tính Active Directory (dsa.msc)
Tạo người dùng mới từ bảng điều khiển Người dùng và Máy tính Active Directory (dsa.msc)
Thay đổi mật khẩu cho các thiết bị đã tham gia miền, bên thứ ba

Nếu bạn không thấy ID Sự kiện 37 sau khi cài đặt các bản cập nhật Windows được phát hành ngày 9 tháng 11 năm 2021 trở lên trong một tuần và PacRequestorEnforcement là '1' hoặc '2', thì môi trường của bạn không bị ảnh hưởng.

Nếu bạn đặt PacRequestorEnforcement = 1, ID Sự kiện 37 sẽ được ghi nhật ký như một cảnh báo nhưng yêu cầu thay đổi mật khẩu sẽ thành công và sẽ không ảnh hưởng đến người dùng.

Nếu bạn đặt PacRequestorEnforcement = 2, các yêu cầu thay đổi mật khẩu sẽ không thành công và sẽ khiến các thao tác được liệt kê ở trên cũng không thành công.

Sự cố này đã được khắc phục trong các bản cập nhật sau:

Windows 11 - KB5011563
Windows Server 2022 - KB5011558
Windows 10, phiên bản 20H2, Windows 10 phiên bản 21H1 và Windows 10, phiên bản 21H2 - KB5011543
Windows 10, phiên bản 1809 và Windows Server 2019 - KB5011551
Windows 10, phiên bản 1607 và Windows Server 2016 - KB5012596
Windows Server 2012 R2 - KB5012670
Windows Server 2012 - KB5012666
Windows Server 2008 R2 - KB5012649
Windows Server 2008 SP2 - KB5012632

Câu hỏi thường gặp

Câu hỏi 1 Điều gì sẽ xảy ra nếu tôi có một hỗn hợp của bộ kiểm soát miền Active Directory được cập nhật và không được cập nhật?

A1. Hỗn hợp các bộ kiểm soát miền được cập nhật và chưa được cập nhật nhưng có giá trị khóa đăng ký PacRequestorEnforcement mặc định là 1 tương thích với nhau. Tuy nhiên, Microsoft khuyên bạn không nên có bộ kiểm soát miền được cập nhật và không được cập nhật trong môi trường.

Q2 Điều gì xảy ra nếu tôi có một hỗn hợp của bộ kiểm soát miền Active Directory có nhiều giá trị PacRequestorEnforcement khác nhau?

A2. Hỗn hợp các bộ điều khiển miền có giá trị PacRequestorEnforcement là 0 và 1 tương thích với nhau. Hỗn hợp các bộ điều khiển miền có giá trị PacRequestorEnforcement là 1 và 2 tương thích với nhau. Hỗn hợp các bộ kiểm soát miền có giá trị PacRequestorEnforcement là 0 và 2 không tương thích với nhau và có thể gây ra lỗi thỉnh thoảng. Vui lòng xem mục Thông tin khóa đăng ký để biết thêm chi tiết.