PowerScale: Ohrožení zabezpečení spočívající v možnosti zvýšení oprávnění služby Netlogon RPC (CVE-2022-38023)

Systém PowerScale OneFS používá protokol Netlogon jako zabezpečený kanál pro komunikaci se službou Active Directory. Tento článek obsahuje informace o dopadu chyby CVE-2022-38023 na systém PowerScale OneFS.

Zde je oznámení o chybě zabezpečení společnosti Microsoft pro CVE-2022-38023, ohrožení zabezpečení zabezpečení Netlogon RPC Elevation of Privilege Vulnerability  

Společnost Microsoft vydala 8. listopadu 2022 aktualizaci, která zavedla následující klíč systémového registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

To má tři hodnoty:

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

Systém PowerScale OneFS ve výchozím nastavení označí a zapečetí připojení zabezpečeného kanálu Netlogon Vyžadování zapečetění Netlogon kvůli chybě CVE-2022-38023 nemá vliv na systém PowerScale OneFS.

V Prohlížeči událostí systému Windows řadičů domény se mohou zobrazit následující události:

Nová událost s ID 5840 je vytvořena s klienty PowerScale se systémem OneFS verze 9.4.x a staršími, které ve výchozím nastavení používají RC4 pro zabezpečený kanál NTLM Netlogon.

U klientů PowerScale OneFS s verzemi 9.5.0 a novějšími se nevytvoří nová událost s ID 5840. Systém PowerScale OneFS 9.5.0 používá pro přihlášení NTLM do sítě kryptografii AES.

Tyto aktualizace systému Microsoft pro systém Windows, které řeší chybu CVE-2022-38023, nemají žádný vliv na fungování klientů PowerScale OneFS s jakoukoli podporovanou verzí od verze 7.x.

Chcete-li využívat kryptografii AES pro zabezpečený kanál NTLM Netlogon v systému OneFS, proveďte upgrade na systém PowerScale OneFS verze 9.5.0 nebo novější.

Podpora kryptografie AES pro zabezpečený kanál NTLM Netlogon není zpětně portována do systému PowerScale OneFS verze 9.4.x a starší.

Související zdroje
Zde jsou doporučené zdroje související s tímto tématem, které by vás mohly zajímat:

• Článek společnosti Dell 152189, Informační centra k systému PowerScale OneFS
• Článek společnosti Dell 184794, Aktuální opravy systému PowerScale OneFS
• Článek společnosti Dell 63022, PowerScale: OneFS: Vzorové postupy pro nastavení klienta NFS

Následující hodnota registru neplatí ve výchozím nastavenía nezpůsobuje žádné chyby ověřování, pokud není záměrně povolena:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

Pokud je hodnota záměrně nastavena na hodnotu TRUE (1 ), dojde u systému OneFS verze 9.4.x a starších k selhání ověřování NTLM.

Ověřte nastavení spuštěním následujícího příkazu PowerShellu:

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

Příklad výstupu povolení:

U systému OneFS 9.4 a staršího a pokud RejectMd5Clients , zobrazí se podobné chyby v /var/log/lsassd.log případě selhání ověřování NTLM:

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295