Quelle: microsoft.com (Englisch)
Zusammenfassung
CVE-2021-42291 behebt eine Sicherheitsanfälligkeit, die es bestimmten Benutzern ermöglicht, beliebige Werte für sicherheitsrelevante Attribute bestimmter in Active Directory (AD) gespeicherter Objekte festzulegen. Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Benutzer über ausreichende Berechtigungen verfügen, um ein Computerkonto zu erstellen, z. B. ein Benutzer, dem CreateChild-Berechtigungen für Computerobjekte gewährt werden. Dieser Benutzer könnte ein Computerkonto mithilfe eines LDAP-Add-Aufrufs (Lightweight Directory Access Protocol) erstellen, der einen übermäßig freizügigen Zugriff auf das securityDescriptor-Attribut ermöglicht. Außerdem können Ersteller und Besitzer sicherheitsrelevante Attribute nach der Erstellung eines Kontos ändern.
Abhilfemaßnahmen in CVE-2021-42291 bestehen aus:
Zusätzliche Berechtigungsüberprüfung, wenn Benutzer ohne Domänenadministratorrechte einen LDAP-Add-Vorgang für ein von einem Computer abgeleitetes Objekt versuchen. Dies umfasst einen Audit-By-Default-Modus, der prüft, wenn solche Versuche auftreten, ohne die Anfrage zu beeinträchtigen, und einen Enforcement-Modus, der solche Versuche blockiert.
Vorübergehende Entfernung der impliziten Eigentümerrechte, wenn Benutzer ohne Domänenadministratorrechte einen LDAP-Änderungsvorgang für das securityDescriptor-Attribut versuchen. Es erfolgt eine Überprüfung, ob der Benutzer den Security Descriptor ohne Implizite Owner-Rechte schreiben darf. Dazu gehört auch ein Audit-By-Default-Modus, der prüft, wenn solche Versuche auftreten, ohne die Anfrage zu beeinträchtigen, und ein Enforcement-Modus, der solche Versuche blockiert.
Maßnahmen ergreifen
Um Ihre Umgebung zu schützen und Ausfälle zu vermeiden, führen Sie bitte die folgenden Schritte durch:
Aktualisieren Sie alle Geräte, die die Active Directory-Domänencontrollerrolle hosten, indem Sie das Update vom 9. November 2021 installieren. Dadurch werden die Änderungen standardmäßig im Audit-Modus implementiert.
Überwachen Sie das Verzeichnisdienst-Ereignisprotokoll auf 3044-3056-Ereignisse auf Domänencontrollern, die über die Windows-Updates vom 9. November 2021 oder später verfügen, die vor dem programmatischen Durchsetzungsmodus veröffentlicht wurden. Die protokollierten Ereignisse weisen darauf hin, dass ein Benutzer möglicherweise übermäßige Berechtigungen zum Erstellen von Computerkonten mit beliebigen sicherheitsrelevanten Attributen hat. Melden Sie alle unerwarteten Szenarien an Microsoft über einen Premier- oder Unified-Support-Fall oder den Feedback Hub. (Ein Beispiel für diese Ereignisse finden Sie im Abschnitt Neu hinzugefügte Ereignisse).
Wenn der Audit-Modus über einen ausreichend langen Zeitraum keine unerwarteten Berechtigungen erkennt, wechseln Sie in den Enforcement-Modus, um sicherzustellen, dass keine negativen Ergebnisse auftreten. Melden Sie alle unerwarteten Szenarien an Microsoft über einen Premier- oder Unified-Support-Fall oder den Feedback Hub.
Der wichtige Erzwingungsmodus wird in einem kommenden Update frühestens am 11. April 2023 standardmäßig aktiviert.
Zeitplan für Windows-Updates
Diese Windows-Updates werden in zwei Phasen veröffentlicht:
- Erste Bereitstellung - Einführung des Updates, einschließlich der Modi Audit-By-Default, Enforcement oder Disable, die mit dem Attribut dSHeuristics konfiguriert werden können.
- Endgültige Bereitstellung - Erzwingung per Standard.
Der wichtige Durchsetzungsmodus wird frühestens ab dem 11. April 2023 in einem kommenden Update standardmäßig aktiviert.
9. November 2021: Erste Bereitstellungsphase
Die erste Bereitstellungsphase beginnt mit dem Windows-Update, das am 9. November 2021 veröffentlicht wird. Diese Version fügt die Überprüfung von Berechtigungen hinzu, die von Benutzern ohne Domänenadministratorrechte während der Erstellung oder Änderung eines Computers oder von Computern abgeleiteter Objekte festgelegt werden. Außerdem werden ein Erzwingungs- und ein Deaktivierungsmodus hinzugefügt. Sie können den Modus global für jede Active Directory-Gesamtstruktur mithilfe des Attributs dSHeuristics festlegen.
(Aktualisiert 08.07.22) 11. April 2023: Endgültige Bereitstellungsphase**
Die letzte Bereitstellungsphase beginnt mit einem Windows-Update, das frühestens am 11. April 2023 (wird noch festgelegt) veröffentlicht wird. In dieser Phase wird der Standard auf den Durchsetzungsmodus umgestellt.
Wichtig! Der Deaktivierungsmodus wird nach dem 11. April 2023 nicht mehr unterstützt.
Hinweis: Dieses Update setzt voraus, dass alle Domänencontroller mit dem Update vom 9. November 2021 oder später aktualisiert werden.
Anleitung für den Einsatz
Einstellen der Konfigurationsinformationen
Nach der Installation von CVE-2021-42291 steuern die Zeichen 28 und 29 des Attributs dSHeuristics das Verhalten des Updates. Das dSHeuristics-Attribut existiert in jeder Active Directory-Gesamtstruktur und enthält Einstellungen für die gesamte Gesamtstruktur. Das Attribut dSHeuristics ist ein Attribut des Objekts "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,
Zeichen 28 - Zusätzliche AuthZ Überprüfungen für LDAP Add Operationen
0: Audit-by-Default Modus ist aktiviert. Es wird ein Ereignis protokolliert, wenn Benutzer ohne Domänenadministratorrechte den securityDescriptor oder andere Attribute auf Werte setzen, die übermäßige Berechtigungen auf neue, von Computern abgeleitete AD-Objekte gewähren und damit möglicherweise eine zukünftige Ausnutzung ermöglichen könnten.
1: Der Erzwingungsmodus ist aktiviert. Dies verhindert, dass Benutzer ohne Domänenadministratorrechte den securityDescriptor oder andere Attribute auf Werte setzen, die übermäßige Berechtigungen für von Computern abgeleitete AD-Objekte gewähren könnten. Außerdem wird ein Ereignis protokolliert, wenn dies geschieht.
2: Deaktiviert das aktualisierte Auditing und setzt die zusätzliche Sicherheit nicht durch. Nicht empfohlen.
Beispiel: Wenn in Ihrem Forest keine anderen dSHeuristics-Einstellungen aktiviert waren und Sie für die zusätzliche AuthZ-Überprüfung in den Durchsetzungsmodus wechseln möchten, sollte das Attribut dSHeuristics auf:
“0000000001000000000200000001”
Die Zeichen, die in diesem Fall gesetzt werden, sind:
- Zeichen: Muss auf 1 gesetzt werden, wenn das Attribut dSHeuristics aus mindestens 10 Zeichen besteht
- Zeichen: Muss auf 2 gesetzt werden, wenn das Attribut dSHeuristics mindestens 20 Zeichen lang ist
- Zeichen: Muss auf 1 gesetzt werden, um den Durchsetzungsmodus für die zusätzliche AuthZ-Überprüfung zu aktivieren.
Zeichen 29 - Vorübergehende Entfernung des impliziten Eigentümers für LDAP-Änderungsoperationen
0: Der Modus Audit-by-Default ist aktiviert. Es wird ein Ereignis protokolliert, wenn Benutzer ohne Domänenadministratorrechte den securityDescriptor auf Werte setzen, die übermäßige Berechtigungen auf bestehende, von Computern abgeleitete AD-Objekte gewähren und somit eine zukünftige Ausnutzung ermöglichen könnten.
1: Der Erzwingungsmodus ist aktiviert. Dadurch wird verhindert, dass Benutzer ohne Domänenadministratorrechte den securityDescriptor auf Werte setzen, die übermäßige Berechtigungen für bestehende, von Computern abgeleitete AD-Objekte gewähren könnten. Außerdem wird ein Ereignis protokolliert, wenn dies geschieht.
2: Deaktiviert das aktualisierte Auditing und erzwingt nicht die zusätzliche Sicherheit. Nicht empfohlen.
Beispiel: Wenn in Ihrem Forest nur das dsHeuristics-Flag für zusätzliche AuthZ-Überprüfungen gesetzt ist und Sie für die temporäre Entfernung von Impliziten Besitzrechten in den Durchsetzungsmodus wechseln möchten, sollte das dSHeuristics-Attribut auf:
“00000000010000000002000000011”
Die Zeichen, die in diesem Fall gesetzt werden, sind:
- Zeichen: Muss auf 1 gesetzt werden, wenn das Attribut dSHeuristics aus mindestens 10 Zeichen besteht
- Zeichen: Muss auf 2 gesetzt werden, wenn das Attribut dSHeuristics mindestens 20 Zeichen lang ist
- Zeichen: Muss auf 1 gesetzt werden, um den Durchsetzungsmodus für die zusätzliche AuthZ-Überprüfung zu aktivieren
- Zeichen: Muss auf 1 gesetzt werden, um den Durchsetzungsmodus für die vorübergehende Entfernung des impliziten Besitzes zu aktivieren
Neu hinzugefügte Ereignisse
Das Windows-Update vom 9. November 2021 wird auch neue Ereignisprotokolle hinzufügen.
Modusänderungsereignisse - Zusätzliche AuthZ Verifizierung für LDAP Add Operationen
Ereignisse, die auftreten, wenn Bit 28 des Attributs dSHeuristics geändert wird, was den Modus der zusätzlichen AuthZ-Überprüfungen für den LDAP-Add-Operationen-Teil des Updates ändert.
Ereignisprotokoll | Verzeichnisdienste |
Ereignistyp | Information |
Ereignis-ID | 3050 |
Ereignistext | Das Verzeichnis wurde so konfiguriert, dass es bei LDAP-Add-Operationen eine pro Attribut-Autorisierung während LDAP-Add-Operationen zu erzwingen. Dies ist die sicherste Einstellung, und es sind keine weiteren Maßnahmen erforderlich. |
Ereignisprotokoll | Verzeichnisdienste |
Ereignistyp | Warnung |
Ereignis-ID | 3051 |
Ereignistext | Das Verzeichnis wurde so konfiguriert, dass bei LDAP-Additionsoperationen keine Attribut-Autorisierung während LDAP-Add-Operationen zu erzwingen. Warnende Ereignisse werden protokolliert, aber keine Anfragen werden blockiert. Diese Einstellung ist nicht sicher und sollte nur als vorübergehender Schritt zur Fehlersuche verwendet werden. Bitte lesen Sie die vorgeschlagenen Abhilfemaßnahmen unter dem unten stehenden Link. |
Ereignisprotokoll | Verzeichnisdienste |
Ereignistyp | Fehler |
Ereignis-ID | 3052 |
Ereignistext | Das Verzeichnis wurde so konfiguriert, dass bei LDAP-Additionsoperationen keine Attribut-Autorisierung während LDAP-Add-Operationen zu erzwingen. Es werden keine Ereignisse protokolliert und keine Anfragen blockiert. Diese Einstellung ist nicht sicher und sollte nur als vorübergehender Schritt zur Fehlersuche verwendet werden. Bitte lesen Sie die vorgeschlagenen Abhilfemaßnahmen unter dem unten stehenden Link. |
Mode Change Events - vorübergehende Aufhebung der impliziten Eigentümerrechte
Ereignisse, die auftreten, wenn Bit 29 des Attributs dSHeuristics geändert wird, wodurch sich der Modus für die vorübergehende Entfernung der Rechte des impliziten Eigentümers im Rahmen der Aktualisierung ändert.
Ereignisprotokoll | Verzeichnisdienste |
Ereignistyp | Information |
Ereignis-ID | 3053 |
Ereignis Text | Das Verzeichnis wurde so konfiguriert, dass implizite Eigentümerrechte beim erstmaligen Setzen oder Ändern des nTSecurityDescriptor-Attributs während LDAP Hinzufügungs- und Änderungsvorgängen blockiert werden. Dies ist die sicherste Einstellung, und es sind keine weiteren Maßnahmen erforderlich. |
Ereignisprotokoll | Verzeichnisdienste |
Ereignistyp | Warnung |
Ereignis-ID | 3054 |
Ereignis Text | Das Verzeichnis wurde so konfiguriert, dass implizite Eigentümerrechte beim erstmaligen Setzen oder Ändern des nTSecurityDescriptor-Attributs während LDAP Hinzufügungs- und Änderungsvorgängen zugelassen werden. Es werden Warnmeldungen protokolliert, aber keine Anfragen blockiert. Diese Einstellung ist nicht sicher und sollte nur als vorübergehender Schritt zur Fehlerbehebung verwendet werden. |
Ereignisprotokoll | Verzeichnisdienste |
Ereignistyp | Fehler |
Ereignis-ID | 3055 |
Ereignis Text | Das Verzeichnis wurde so konfiguriert, dass beim erstmaligen Setzen oder Ändern des nTSecurityDescriptor-Attributs während LDAP-Hinzufügungs- und -Änderungsvorgängen implizite Eigentümerrechte zugelassen werden. Es werden keine Ereignisse protokolliert und keine Anfragen blockiert. Diese Einstellung ist nicht sicher und sollte nur als vorübergehender Schritt zur Fehlerbehebung verwendet werden. |
Ereignisse im Audit-Modus
Ereignisse, die im Audit-Modus auftreten, um potenzielle Sicherheitsbedenken bei einem LDAP-Add- oder Modifizierungsvorgang zu protokollieren.
Ereignisprotokoll | Verzeichnisdienste |
Ereignistyp | Warnung |
Ereignis-ID | 3047 |
Ereignis Text | Der Verzeichnisdienst hat eine LDAP-Add-Anfrage für das folgende Objekt entdeckt, die normalerweise aus den folgenden Sicherheitsgründen blockiert worden wäre. Der Client hatte keine Berechtigung zum Schreiben eines oder mehrerer Attribute, die in der Hinzufügungsanforderung enthalten waren, basierend auf dem standardmäßig zusammengeführten Sicherheitsdeskriptor. Die Anfrage wurde zugelassen, weil das Verzeichnis derzeit so konfiguriert ist, dass es für diese Sicherheitsprüfung im Nur-Prüfungs-Modus ist. Objekt-DN: <DN des erstellten Objekts> Objektklasse: <Objektklasse des erstellten Objekts> Benutzer: <Benutzer, der das LDAP-Add> versucht hat; Client-IP-Adresse: <die IP des Anfragenden> Sicherheitsdeskriptor: <der SD, der versucht wurde> |
Ereignisprotokoll | Verzeichnisdienste |
Ereignistyp | Warnung |
Ereignis-ID | 3048 |
Ereignis Text | Der Verzeichnisdienst hat eine LDAP-Add-Anfrage für das folgende Objekt erkannt, die normalerweise aus den folgenden Sicherheitsgründen blockiert worden wäre. Der Client fügte ein nTSecurityDescriptor-Attribut in die Hinzufügungsanforderung ein, verfügte aber nicht über die explizite Berechtigung, einen oder mehrere Teile des neuen Sicherheitsdeskriptors zu schreiben, der auf dem standardmäßigen zusammengeführten Sicherheitsdeskriptor basiert. Die Anfrage durfte fortgesetzt werden, da das Verzeichnis derzeit so konfiguriert ist, dass diese Sicherheitsüberprüfung nur im Audit-Modus erfolgt. Objekt-DN: <DN des erstellten Objekts> Objektklasse: <Objektklasse des erstellten Objekts> Benutzer: <Benutzer, der das LDAP-Add> versucht hat; Client-IP-Adresse: <die IP des Anfragenden> |
Ereignisprotokoll | Verzeichnisdienste |
Ereignistyp | Warnung |
Ereignis-ID | 3049 |
Ereignis Text | Der Verzeichnisdienst hat eine LDAP-Änderungsanfrage für das folgende Objekt erkannt, die normalerweise aus den folgenden Sicherheitsgründen blockiert worden wäre. Der Client fügte ein nTSecurityDescriptor-Attribut in die Add-Anfrage ein, hatte aber nicht die explizite Erlaubnis, einen oder mehrere Teile des neuen Sicherheitsdeskriptors zu schreiben. Objekt-DN: <DN des erstellten Objekts> Objektklasse: <Objektklasse des erstellten Objekts> Benutzer: <Benutzer, der das LDAP-Add> versucht hat; Client-IP-Adresse: <die IP des Antragstellers> |
Ereignisprotokoll | Verzeichnisdienste |
Ereignistyp | Warnung |
Ereignis ID | 3056 |
Ereignistext | Der Verzeichnisdienst verarbeitete eine Abfrage für das Attribut sdRightsEffective auf dem unten angegebenen Objekt. Die zurückgegebene Zugriffsmaske enthielt WRITE_DAC, aber nur, weil das Verzeichnis so konfiguriert wurde, dass es implizite Eigentümerrechte zulässt, was keine sichere Einstellung ist. Objekt-DN: <DN des erstellten Objekts> Benutzer: <Benutzer, der versucht hat, das LDAP hinzuzufügen> Client-IP-Adresse: <die IP des Anfragenden> |
Enforcement Mode - LDAP Add Fehlschläge
Ereignisse, die auftreten, wenn ein LDAP-Add-Vorgang verweigert wird.
Ereignisprotokoll | Verzeichnisdienste |
Ereignistyp | Warnung |
Ereignis ID | 3044 |
Ereignistext | Der Verzeichnisdienst hat eine LDAP-Add-Anfrage für das folgende Objekt abgelehnt. Die Anforderung wurde verweigert, weil der Client nicht über die Berechtigung verfügte, ein oder mehrere Attribute zu schreiben, die in der Hinzufügungsanforderung enthalten waren, basierend auf dem standardmäßigen zusammengeführten Sicherheitsdeskriptor. Objekt-DN: <DN des erstellten Objekts> Objektklasse: <Objektklasse des erstellten Objekts> Benutzer: <Benutzer, der das LDAP-Add> versucht hat; Client-IP-Adresse: <die IP des Anfragenden> Sicherheitsdeskriptor: <der SD, der versucht wurde> |
Ereignisprotokoll | Verzeichnisdienste |
Ereignistyp | Warnung |
Ereignis ID | 3045 |
Ereignistext | Der Verzeichnisdienst hat eine LDAP-Add-Anfrage für das folgende Objekt abgelehnt. Die Anforderung wurde verweigert, weil der Client ein nTSecurityDescriptor-Attribut in die Hinzufügungsanforderung aufgenommen hat, aber keine explizite Berechtigung zum Schreiben eines oder mehrerer Teile des neuen Sicherheitsdeskriptors auf der Grundlage des standardmäßigen zusammengeführten Sicherheitsdeskriptors hatte. Objekt-DN: <DN des erstellten Objekts> Objektklasse: <Objektklasse des erstellten Objekts> Benutzer: <Benutzer, der das LDAP-Add> versucht hat; Client-IP-Adresse: <die IP des Antragstellers> |
Durchsetzungsmodus - LDAP Modify-Fehler
Ereignisse, die auftreten, wenn ein LDAP-Änderungsvorgang verweigert wird.
Ereignisprotokoll | Verzeichnisdienste |
Ereignistyp | Warnung |
Ereignis ID | 3046 |
Ereignistext | Der Verzeichnisdienst hat eine LDAP-Änderungsanfrage für das folgende Objekt abgelehnt. Die Anforderung wurde verweigert, weil der Client ein nTSecurityDescriptor-Attribut in die Änderungsanforderung aufgenommen hat, aber keine explizite Berechtigung zum Schreiben eines oder mehrerer Teile des neuen Sicherheitsbeschreibungseintrags auf der Grundlage des vorhandenen Sicherheitsbeschreibungseintrags des Objekts hatte. Objekt-DN: <DN des erstellten Objekts> Objektklasse: <Objektklasse des erstellten Objekts> Benutzer: <Benutzer, der das LDAP-Add> versucht hat; Client-IP-Adresse: <die IP des Anforderers> |