PowerScale: Netlogon RPC -oikeuksien laajentamisen haavoittuvuus (CVE-2022-38023)

PowerScale OneFS käyttää Netlogonia suojattuna viestintäkanavana Active Directoryn kanssa. Tässä artikkelissa on tietoja haavoittuvuuden CVE-2022-38023 vaikutuksesta PowerScale OneFS:ään.

Tässä on Microsoftin tietoturvahaavoittuvuusilmoitus haavoittuvuudelle CVE-2022-38023, Netlogon RPC Käyttöoikeuksien korotushaavoittuvuus  

Microsoft julkaisi 8.11.2022 päivityksen, joka esitteli seuraavan järjestelmän rekisteriavaimen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

Sillä on kolme arvoa:

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

PowerScale OneFS allekirjoittaa ja sinetöi oletusarvoisesti suojatun Netlogon-kanavayhteyden Netlogon-tiivistyksen vaatiminen CVE-2022-38023:n vuoksi ei vaikuta PowerScale OneFS:ään.

Toimialueen ohjauskoneiden Windowsin tapahtumienvalvonnassa saattaa näkyä kirjattuna seuraavat tapahtumat:

Uusi tapahtumatunnus 5840 luodaan PowerScale-asiakasohjelmilla , joissa on OneFS-versio 9.4.x tai vanhempi ja jotka käyttävät oletusarvoisesti RC4:ää NTLM Netlogon Secure Channel -kanavassa.

Uutta tapahtumatunnusta 5840 ei luoda PowerScale OneFS -asiakasohjelmissa, joissa on versio 9.5.0 tai uudempi. PowerScale OneFS 9.5.0 käyttää AES-salausta NTLM Netlogonille.

Nämä Microsoftin Windows-päivitykset, jotka korjaavat haavoittuvuuden CVE-2022-38023, eivät vaikuta mitenkään PowerScale OneFS -asiakkaisiin, joissa on käytössä tuettuja versioita 7.x:n jälkeen.

Voit hyödyntää OneFS:n NTLM Netlogon Secure Channel -kanavan AES-salausta päivittämällä PowerScale OneFS -versioon 9.5.0 tai uudempaan.

NTLM Netlogon Secure Channel -kanavan AES-salauksen tukea ei palauteta PowerScale OneFS -versioihin 9.4.x ja sitä vanhempiin versioihin.

Aiheeseen liittyvät resurssit
Seuraavassa on suositeltuja aiheeseen liittyviä resursseja, jotka saattavat kiinnostaa:

• Dell-artikkeli 152189, PowerScale OneFS -tietokeskukset
• Dellin artikkeli 184794, PowerScale OneFS -päivitykset
• Dellin artikkeli 63022, PowerScale: OneFS: NFS-asiakkaiden asetusten parhaat käytännöt

Seuraavaa rekisteriarvoa ei oletusarvoisesti käytetä, eikä se aiheuta todennusvirheitä, ellei sitä ole otettu tarkoituksella käyttöön:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

Jos arvoksi on tarkoituksella määritetty TRUE (1 ), NTLM-todennusvirhe esiintyy OneFS 9.4.x -versiossa ja aiemmissa.

Tarkista asetus suorittamalla seuraava PowerShell-komento:

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

Esimerkki sen käyttöönotosta:

OneFS 9.4 ja aiemmat ja jos RejectMd5Clients arvo on käytössä, näet samanlaisia virheitä tiedostossa /var/log/lsassd.log epäonnistuneen NTLM-todennuksen yhteydessä:

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295