PowerScale OneFS käyttää Netlogonia suojattuna viestintäkanavana Active Directoryn kanssa. Tässä artikkelissa on tietoja haavoittuvuuden CVE-2022-38023 vaikutuksesta PowerScale OneFS:ään.
Tässä on Microsoftin tietoturvahaavoittuvuusilmoitus haavoittuvuudelle CVE-2022-38023, Netlogon RPC Käyttöoikeuksien korotushaavoittuvuus
Microsoft julkaisi 8.11.2022 päivityksen, joka esitteli seuraavan järjestelmän rekisteriavaimen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal
Sillä on kolme arvoa:
0 – Disabled 1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts. 2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).
PowerScale OneFS allekirjoittaa ja sinetöi oletusarvoisesti suojatun Netlogon-kanavayhteyden Netlogon-tiivistyksen vaatiminen CVE-2022-38023:n vuoksi ei vaikuta PowerScale OneFS:ään.
Toimialueen ohjauskoneiden Windowsin tapahtumienvalvonnassa saattaa näkyä kirjattuna seuraavat tapahtumat:
Tapahtuman tunnus | 5840 |
Tapahtuman teksti | Netlogon-palvelu loi suojatun kanavan RC4-asiakkaan kanssa. |
Uusi tapahtumatunnus 5840 luodaan PowerScale-asiakasohjelmilla , joissa on OneFS-versio 9.4.x tai vanhempi ja jotka käyttävät oletusarvoisesti RC4:ää NTLM Netlogon Secure Channel -kanavassa.
Uutta tapahtumatunnusta 5840 ei luoda PowerScale OneFS -asiakasohjelmissa, joissa on versio 9.5.0 tai uudempi. PowerScale OneFS 9.5.0 käyttää AES-salausta NTLM Netlogonille.
Nämä Microsoftin Windows-päivitykset, jotka korjaavat haavoittuvuuden CVE-2022-38023, eivät vaikuta mitenkään PowerScale OneFS -asiakkaisiin, joissa on käytössä tuettuja versioita 7.x:n jälkeen.
Voit hyödyntää OneFS:n NTLM Netlogon Secure Channel -kanavan AES-salausta päivittämällä PowerScale OneFS -versioon 9.5.0 tai uudempaan.
NTLM Netlogon Secure Channel -kanavan AES-salauksen tukea ei palauteta PowerScale OneFS -versioihin 9.4.x ja sitä vanhempiin versioihin.
Aiheeseen liittyvät resurssit
Seuraavassa on suositeltuja aiheeseen liittyviä resursseja, jotka saattavat kiinnostaa:
Seuraavaa rekisteriarvoa ei oletusarvoisesti käytetä, eikä se aiheuta todennusvirheitä, ellei sitä ole otettu tarkoituksella käyttöön:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients
Jos arvoksi on tarkoituksella määritetty TRUE (1 ), NTLM-todennusvirhe esiintyy OneFS 9.4.x -versiossa ja aiemmissa.
Tarkista asetus suorittamalla seuraava PowerShell-komento:
Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients
Esimerkki sen käyttöönotosta:
OneFS 9.4 ja aiemmat ja jos RejectMd5Clients
arvo on käytössä, näet samanlaisia virheitä tiedostossa /var/log/lsassd.log epäonnistuneen NTLM-todennuksen yhteydessä:
2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR) 2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED') 2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295