目录
1、概述
CVE-2021-42287 解决了影响 Kerberos 特权属性证书(Privilege Attribute Certificate,PAC)并允许潜在攻击者冒充域控制器的安全绕过漏洞。利用此漏洞,受感染的域帐户可能会导致密钥分发中心(Key Distribution Center,KDC)创建具有比受感染帐户更高权限级别的服务票证。它通过阻止 KDC 识别更高权限服务票证用于哪个帐户来实现此目的。
CVE-2021-42287 中改进的身份验证过程向 Kerberos 票证授予票证(Ticket-Granting Ticket,TGT)的 PAC 添加了有关原始请求者的新信息。稍后,当为帐户生成 Kerberos 服务票证时,新的身份验证过程将验证请求 TGT 的帐户是否与服务票证中引用的帐户相同。安装日期为 2021 年 11 月 9 日(November 9, 2021)或之后的 Windows 更新后,PAC 将添加到所有域帐户的 TGT,即使是那些以前选择拒绝 PAC 的帐户。
2、采取行动
为了保护您的环境并避免中断,请完成以下步骤:
1)通过安装 2021 年 11 月 9 日(November 9, 2021)更新来更新承载 Active Directory 域控制器角色的所有设备。
注,2021 年 11 月 9 日的更新存在一个已知问题,即使用 Kerberos 约束委派的身份验证。修复该问题的更新已于 2021 年 11 月 14 日发布,因此请考虑应用它。
以下是各操作系统的更新补丁:
Windows Server 2019:KB5008602
Windows Server 2016:KB5008601
Windows Server 2012 R2:KB5008603
Windows Server 2012:KB5008604
Windows Server 2008 R2:KB5008601
Windows Server 2008:KB5008601
2)在所有 Active Directory 域控制器上安装 November 9, 2021 更新至少 7 天后,强烈建议在所有 Active Directory 域控制器上启用强制模式。
3)从 2022 年 7 月 12 日(July 12, 2022)的强制阶段更新开始,强制模式将在所有 Windows 域控制器上启用并且是必需的。
3、Windows 更新的时间安排
这些 Windows 更新将分三个阶段发布:
1)初始部署:
引入 2021 年 11 月 9 日更新(November 9, 2021),添加 PacRequestorEnforcement 注册表项。
- 在所有的域控制器中安装更新后,至少运行 7 天(票证有效期)。
+ 运行 7 天或更长时间后,监视域控制器以查看系统事件日志中 ID 为 35、36、37 和 38 的警告信息。
* 忽略 7 天内输出的事件消息,因为它们可能会受到剩余的旧 Kerberos 票证的影响。
+ 不支持新 PAC 的第三方产品,即使 ID 35、36、37 和 38 未出现在系统事件日志中。当您从域控制器收到包含新 PAC 的 TGT 时,第三方产品的实施可能会产生影响。
如果您有执行 Kerberos 身份验证的第三方产品,请在将更新应用到域控制器后单独检查是否可以成功验证 Kerberos。
+ 确认以上 2 点没有问题后,在所有域控制器上设置以下注册表并启用强制模式。这样就完成了漏洞响应。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
PacRequestorEnforcement(REG_DWORD) = 2
- 默认情况下,PacRequestorEnforcement 注册表不存在(操作时,与 1 值相同效果)。
2)第二次部署:
引入 2022 年 4 月 12 日更新(April 12, 2022),删除 PacRequestorEnforcement 值为 0(即与设置为 1 具有相同效果)。
此更新假定所有域控制器都已采用 2021 年 11 月 9 日(November 9, 2021)或更高版本更新。
3)强制阶段:
引入 2022 年 7 月 12 日更新(July 12, 2022),启用强制模式。删除 PacRequestorEnforcement 注册表项。
此时,与以下域控制器不再兼容:
- 未安装 2021 年 11 月 9 日更新(November 9, 2021)或更高版本更新的域控制器。
- 已安装 2021 年 11 月 9 日更新(November 9, 2021)或更高版本更新,但未安装 2022 年 4 月 12 日更新(April 12, 2022)更新,且 PacRequestorEnforcement 注册表值为 0 的域控制器。
与以下域控制器兼容:
- 已安装 2022 年 7 月 12 日更新(July 12, 2022)或更高版本更新的域控制器。
- 已安装 2021 年 11 月 9 日更新(November 9, 2021)或更高版本更新,且 PacRequestorEnforcement 注册表值为 1 或 2 的域控制器。
4、注册表键值信息
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
PacRequestorEnforcement(REG_DWORD) = 1(默认值)
1 - 向使用安装了 2021 年 11 月 9 日更新(November 9, 2021)或更高版本更新的域控制器进行身份验证的用户添加新的 PAC。
验证时,如果用户拥有新的 PAC,则验证 PAC。如果用户没有新的 PAC,则不会采取进一步的行动。
此模式下的域控制器处于部署阶段。
2 - 向使用安装了 2021 年 11 月 9 日更新(November 9, 2021)或更高版本更新的域控制器进行身份验证的用户添加新的 PAC。
验证时,如果用户拥有新的 PAC,则验证 PAC。如果用户没有新的 PAC,则身份验证将被拒绝。
此模式下的域控制器处于强制执行阶段。
0 - 禁用注册表项。不建议。
此模式下的域控制器处于禁用阶段。
引入 2022 年 4 月 12 日更新(April 12, 2022)或更高版本更新后,此值将不存在。
注意事项:
- 设置 0 与设置 2 不兼容。如果在林中同时使用这两种设置,则可能会发生间歇性故障。
- 如果使用设置 0,建议将设置 0(禁用)转换为设置 1(部署)至少一周,然后再转到设置 2(强制模式)。
- 设置完成后,服务器无需重启
5、Windows Event Viewer 日志
Event Log: System
Event Type: Warning
Event Source:Kdcsvc
Event ID: 35
Event Text:
The Key Distribution Center (KDC) encountered a ticket-granting-ticket (TGT) from another KDC (“<KDC Name>”) that did not contain a PAC attributes field.Event Log: System
Event Type: Warning during Deployment Phase
Error during Enforcement Phase
Event Source:Kdcsvc
Event ID: 36
Event Text:
The Key Distribution Center (KDC) encountered a ticket that did not contain a PAC while processing a request for another ticket. This prevented security checks from running and could open security vulnerabilities.
Client: <Domain Name>\<User Name>
Ticket for: <Service Name>Event Log: System
Event Type: Warning during Deployment Phase
Error during Enforcement Phase
Event Source:Kdcsvc
Event ID: 37
Event Text:
The Key Distribution Center (KDC) encountered a ticket that did not contain information about the account that requested the ticket while processing a request for another ticket. This prevented security checks from running and could open security vulnerabilities.
Ticket PAC constructed by: <KDC Name>
Client: <Domain Name>\<Client Name>
Ticket for: <Service Name>Event Log: System
Event Type: Error
Event Source:Kdcsvc
Event ID: 38
Event Text:
The Key Distribution Center (KDC) encountered a ticket that contained inconsistent information about the account that requested the ticket. This could mean that the account has been renamed since the ticket was issued, which may have been part of an attempted exploit.
Ticket PAC constructed by: <Kdc Name>
Client: <Domain Name>\<User Name>
Ticket for: <Service Name>
Requesting Account SID from Active Directory: <SID>
Requesting Account SID from Ticket: <SID>6、FAQ
Q1:如果我同时拥有更新和未更新的 Active Directory 域控制器,会发生什么情况?
A1:已更新和未更新但默认 PacRequestorEnforcement 注册表项值为 1 的域控制器的混合彼此兼容。但是,Microsoft 强烈建议不要在环境中使用已更新和未更新的域控制器。
Q2:如果我混合使用具有不同 PacRequestorEnforcement 值的 Active Directory 域控制器,会发生什么情况?
A2:PacRequestorEnforcement 值为 0 和 1 的混合域控制器彼此兼容。
PacRequestorEnforcement 值为 1 和 2 的域控制器的混合彼此兼容。
PacRequestorEnforcement 值为 0 和 2 的混合域控制器彼此不兼容,可能会导致间歇性故障。
Q3:如果出现了以上的事件信息,该如何对应?
A3:
如果记录了此事件消息,请检查以下几点。
1)是否存在未应用更新程序的域控制器?
2)是否存在 PacRequestorEnforcement 的注册表值为 0 的域控制器?
3)第三方产品中是否存在与 PAC 不兼容的服务、应用程序、操作系统等?如果存在不支持 PAC 的第三方产品,请与产品开发商联系以寻求解决方案。
https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041
2489
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
