PowerScale: Netlogon RPC-sårbarhed i forbindelse med udvidelse af rettigheder (CVE-2022-38023)

PowerScale OneFS bruger Netlogon som en sikker kanal til at kommunikere med Active Directory. Denne artikel indeholder nogle oplysninger om virkningen af CVE-2022-38023 på PowerScale OneFS.

Her er Microsofts meddelelse om sikkerhedssårbarhed for CVE-2022-38023, Netlogon RPC Elevation of Privilege Vulnerability  

Microsoft udgav en opdatering den 8. november 2022, der introducerede følgende systemregistreringsdatabasenøgle:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

Det har tre værdier:

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

PowerScale OneFS signerer og forsegler som standard den sikre Netlogon-kanalforbindelse Krav om Netlogon-forsegling på grund af CVE-2022-38023 påvirker ikke PowerScale OneFS.

Du kan muligvis se følgende hændelser, der logges i Windows Logbog på domænecontrollerne:

Der oprettes et nyt hændelses-id 5840 med PowerScale-klienter, der kører OneFS-version 9.4.x og tidligere, og som som standard bruger RC4 til NTLM Netlogon Secure Channel.

Der oprettes ikke et nyt hændelses-id 5840 med PowerScale OneFS-klienter, der kører version 9.5.0 og nyere. PowerScale OneFS 9.5.0 bruger AES-kryptografi til NTLM Netlogon.

Disse opdateringer til Windows fra Microsoft til afhjælpning CVE-2022-38023 har ingen funktionel indvirkning på PowerScale OneFS-klienter, der kører en understøttet version siden 7.x.

Hvis du vil udnytte AES-kryptografi til NTLM Netlogon Secure Channel i OneFS, skal du opgradere til PowerScale OneFS version 9.5.0 eller nyere.

Understøttelsen af AES-kryptografi til NTLM Netlogon Secure Channel tilbageføres ikke til PowerScale OneFS-version 9.4.x og tidligere.

Relaterede ressourcer
Her er anbefalede ressourcer relateret til dette emne, som kan være af interesse:

• Dell-artikel 152189, PowerScale OneFS-informationshubs
• Dell-artikel 184794, Aktuelle programrettelser til PowerScale OneFS
• Dell-artikel 63022, PowerScale: OneFS: Bedste fremgangsmåder for NFS-klientindstillinger

Følgende registreringsdatabaseværdi gælder ikke som standardog forårsager ingen godkendelsesfejl, medmindre den bevidst er aktiveret:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

Hvis værdien bevidst angives til SAND (1), resulterer det i NTLM-godkendelsesfejl i OneFS-versioner 9.4.x og tidligere.

Bekræft indstillingen ved at køre følgende PowerShell-kommando:

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

Eksempel på output af, at det aktiveres:

For OneFS 9.4 og tidligere, og hvis RejectMd5Clients er aktiveret, vises lignende fejl i /var/log/lsassd.log for en mislykket NTLM-godkendelse:

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295