พาวเวอร์สเกล: Netlogon RPC การยกระดับช่องโหว่ของสิทธิ์ (CVE-2022-38023)

PowerScale OneFS ใช้ Netlogon เป็นช่องทางที่ปลอดภัยในการสื่อสารกับ Active Directory บทความนี้ให้ข้อมูลบางอย่างเกี่ยวกับผลกระทบของ CVE-2022-38023 ต่อ PowerScale OneFS

นี่คือประกาศช่องโหว่ด้านความปลอดภัยของ Microsoft สําหรับ CVE-2022-38023, Netlogon RPC การยกระดับช่องโหว่  

ของสิทธิ์ Microsoft เปิดตัวการอัปเดตเมื่อวันที่ 8 พฤศจิกายน 2022 ที่แนะนําคีย์รีจิสทรีของระบบต่อไปนี้:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

ที่มีค่าสามประการ:

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

ตามค่าเริ่มต้น PowerScale OneFS จะลงชื่อและปิดผนึกการเชื่อมต่อช่องสัญญาณที่ปลอดภัยของ Netlogon การกําหนดให้มีการปิด Netlogon เนื่องจาก CVE-2022-38023 จะไม่ ส่งผลกระทบต่อ PowerScale OneFS

คุณอาจเห็นเหตุการณ์ต่อไปนี้ที่บันทึกไว้ใน Windows Event Viewer ของตัวควบคุมโดเมน:

รหัสเหตุการณ์ใหม่ 5840 ถูกสร้างขึ้น ด้วยไคลเอนต์ PowerScale ที่ใช้ OneFS รุ่น 9.4.x และรุ่นก่อนหน้าซึ่งใช้ RC4 โดยค่าเริ่มต้นสําหรับ NTLM Netlogon Secure Channel

รหัสเหตุการณ์ใหม่ 5840 ไม่ได้ ถูกสร้างขึ้น กับไคลเอนต์ PowerScale OneFS ที่เรียกใช้รุ่น 9.5.0 และรุ่นที่ใหม่กว่า PowerScale OneFS 9.5.0 ใช้การเข้ารหัส AES สําหรับ NTLM Netlogon

การอัปเดต Windows โดย Microsoft เหล่านี้เพื่อจัดการกับ CVE-2022-38023 ไม่มี ผลกระทบต่อการทํางานต่อไคลเอนต์ PowerScale OneFS ที่เรียกใช้รุ่นที่รองรับตั้งแต่ 7.x

หากต้องการใช้ประโยชน์จากการเข้ารหัส AES สําหรับ NTLM Netlogon Secure Channel ใน OneFS ให้อัปเกรดเป็น PowerScale OneFS รุ่น 9.5.0 หรือใหม่กว่า

การสนับสนุนการเข้ารหัส AES สําหรับ NTLM Netlogon Secure Channel จะไม่ถูก backported ไปยัง PowerScale OneFS รุ่น 9.4.x และรุ่นก่อนหน้า

แหล่งข้อมูล
ที่เกี่ยวข้องต่อไปนี้เป็นแหล่งข้อมูลที่แนะนําที่เกี่ยวข้องกับหัวข้อนี้ที่อาจเป็นที่สนใจ:

• บทความของ Dell 152189, PowerScale OneFS Info Hubs
• บทความของ Dell 184794, PowerScale OneFS แพทช์ปัจจุบัน
• บทความของ Dell 63022, PowerScale: หนึ่ง FS: แนวทางปฏิบัติที่ดีที่สุดสําหรับการตั้งค่าไคลเอ็นต์ NFS

ค่ารีจิสทรีต่อไปนี้ จะไม่ นําไปใช้ตามค่าเริ่มต้นและไม่ทําให้เกิดความล้มเหลวในการรับรองความถูกต้องเว้นแต่จะเปิดใช้งานโดยเจตนา:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

หากตั้งค่าโดยเจตนาเป็น TRUE (1 ) จะส่งผลให้ การรับรองความถูกต้อง NTLM ล้มเหลวใน OneFS รุ่น 9.4.x และรุ่นก่อนหน้า

ตรวจสอบการตั้งค่า โดยการเรียกใช้คําสั่ง PowerShell ต่อไปนี้:

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

ตัวอย่างผลลัพธ์ของการเปิดใช้งาน:

สําหรับ OneFS 9.4 และรุ่นก่อนหน้าและหาก RejectMd5Clients ค่าถูกเปิดใช้งาน คุณเห็นข้อผิดพลาดที่คล้ายกันใน /var/log/lsassd.log สําหรับการรับรองความถูกต้อง NTLM ที่ล้มเหลว:

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295