PowerScale: Sicherheitsanfälligkeit durch RPC-Rechteerweiterung bei Netlogon (CVE-2022-38023)

PowerScale OneFS verwendet Netlogon als sicheren Kanal für die Kommunikation mit Active Directory. Dieser Artikel enthält einige Informationen zu den Auswirkungen von CVE-2022-38023 auf PowerScale OneFS.

Ankündigung der Microsoft-Sicherheitslücke CVE-2022-38023, Sicherheitslücke bezüglich der Erhöhung von Berechtigungen durch Netlogon RPC Microsoft  

hat am 8. November 2022 ein Update veröffentlicht, mit dem der folgende Systemregistrierungsschlüssel eingeführt wurde:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

Das hat drei Werte:

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

PowerScale OneFS signiert und versiegelt standardmäßig die sichere Kanalverbindung von Netlogon Die Anforderung der Netlogon-Versiegelung aufgrund von CVE-2022-38023 hat keine Auswirkungen auf PowerScale OneFS.

Möglicherweise werden die folgenden Ereignisse in der Windows-Ereignisanzeige der Domänencontroller protokolliert:

Eine neue Ereignis-ID 5840 wird mit PowerScale-Clients erstellt, auf denen OneFS-Versionen 9.4.x und früher ausgeführt werden, die standardmäßig RC4 für NTLM Netlogon Secure Channel verwenden.

Eine neue Ereignis-ID 5840 wird nicht mit PowerScale OneFS-Clients erstellt, auf denen Version 9.5.0 und höher ausgeführt wird. PowerScale OneFS 9.5.0 verwendet AES-Kryptografie für NTLM Netlogon.

Diese Updates für Windows von Microsoft zur Umsetzung von CVE-2022-38023 haben keine funktionalen Auswirkungen auf PowerScale OneFS-Clients, auf denen eine unterstützte Version seit 7.x ausgeführt wird.

Um die Vorteile der AES-Verschlüsselung für NTLM Netlogon Secure Channel in OneFS zu nutzen, führen Sie ein Upgrade auf PowerScale OneFS Version 9.5.0 oder höher durch.

Die Unterstützung der AES-Verschlüsselung für NTLM Netlogon Secure Channel wird nicht auf PowerScale OneFS-Versionen 9.4.x und früher zurückportiert.

Verwandte Ressourcen
Hier sind empfohlene Ressourcen zu diesem Thema, die möglicherweise von Interesse sind:

• Dell Artikel 152189, PowerScale OneFS Info Hubs
• Dell Artikel 184794, PowerScale OneFS – Aktuelle Patches
• Dell Artikel 63022, PowerScale: OneFS: Best Practices für NFS-Clienteinstellungen

Der folgende Registrierungswert gilt nicht standardmäßig und verursacht keine Authentifizierungsfehler, es sei denn, er wurde absichtlich aktiviert:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

Wenn der Wert absichtlich auf TRUE (1) festgelegt wird , führt dies zu NTLM-Authentifizierungsfehlern auf OneFS-Versionen 9.4.x und früher.

Überprüfen Sie die Einstellung, indem Sie den folgenden PowerShell-Befehl ausführen:

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

Beispielausgabe der Aktivierung:

Für OneFS 9.4 und früher und wenn die RejectMd5Clients aktiviert ist, werden ähnliche Fehler in /var/log/lsassd.log für eine fehlgeschlagene NTLM-Authentifizierung angezeigt:

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295