PowerScale : Faille de sécurité d’élévation de privilèges de Netlogon RPC (CVE-2022-38023)

PowerScale OneFS utilise Netlogon comme canal sécurisé pour communiquer avec Active Directory. Cet article fournit des informations sur l’impact de CVE-2022-38023 sur PowerScale OneFS.

Voici l’annonce de vulnérabilité de sécurité Microsoft pour CVE-2022-38023, faille de sécurité  

d’élévation de privilèges Netlogon RPC Microsoft a publié une mise à jour le 8 novembre 2022 qui a introduit la clé de registre système suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

Cela a trois valeurs :

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

Par défaut, PowerScale OneFS signe et scelle la connexion du canal sécurisé Netlogon L’exigence du scellement Netlogon en raison de CVE-2022-38023 n’a pas d’impact sur PowerScale OneFS.

Les événements suivants peuvent être consignés dans l’Observateur d’événements Windows des contrôleurs de domaine :

Un nouvel ID d’événement 5840 est créé avec les clients PowerScale exécutant OneFS 9.4.x et versions antérieures qui utilisent RC4 par défaut pour NTLM Netlogon Secure Channel.

Un nouvel ID d’événement 5840 n’est pas créé avec les clients PowerScale OneFS exécutant les versions 9.5.0 et supérieures. PowerScale OneFS 9.5.0 utilise le chiffrement AES pour NTLM Netlogon.

Ces mises à jour apportées à Windows par Microsoft pour résoudre les failles de sécurité CVE-2022-38023 n’ont aucun impact fonctionnel sur les clients PowerScale OneFS exécutant une version prise en charge depuis la version 7.x.

Pour tirer parti du chiffrement AES pour NTLM Netlogon Secure Channel dans OneFS, effectuez une mise à niveau vers PowerScale OneFS version 9.5.0 ou supérieure.

La prise en charge du chiffrement AES pour NTLM Netlogon Secure Channel n’est pas rétroportée vers les versions 9.4.x et antérieures de PowerScale OneFS.

Ressources
connexesVoici des ressources recommandées sur ce sujet qui pourraient vous intéresser :

• Article Dell 152189, Hubs d’informations PowerScale OneFS
• Article Dell 184794, Correctifs actuels PowerScale OneFS
• Article Dell 63022, PowerScale : OneFS : Pratiques d’excellence pour les paramètres du client NFS

La valeur de registre suivante ne s’applique pas par défautet n’entraîne aucun échec d’authentification, sauf si elle est délibérément activée :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

Si la valeur est délibérément définie sur TRUE (1 ), cela entraîne des échecs d’authentification NTLM sur OneFS versions 9.4.x et antérieures.

Vérifiez le paramètre en exécutant la commande PowerShell suivante :

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

Exemple de résultat d’activation :

Pour OneFS 9.4 et versions antérieures, et si le RejectMd5Clients value est activée, vous voyez des erreurs similaires dans /var/log/lsassd.log pour un échec d’authentification NTLM :

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295