PowerScale: Netlogon RPC Підвищення вразливості привілеїв (CVE-2022-38023)

PowerScale OneFS використовує Netlogon як безпечний канал зв'язку з Active Directory. У цій статті наведено деяку інформацію про вплив CVE-2022-38023 на PowerScale OneFS.

Ось оголошення про вразливість системи безпеки Microsoft для CVE-2022-38023, Netlogon RPC Elevation of Privilege Vulnerability  

8 листопада 2022 року корпорація Майкрософт випустила оновлення, яке представило такий ключ системного реєстру:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

Це має три значення:

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

PowerScale OneFS за замовчуванням підписує та запечатує безпечне з'єднання каналу Netlogon Вимога герметизації Netlogon через CVE-2022-38023 не впливає на PowerScale OneFS.

У засобі перегляду подій Windows контролерів домену можуть відображатися такі події:

Новий ідентифікатор події 5840 створюється за допомогою клієнтів PowerScale під керуванням OneFS версій 9.4.x і старіших версій, які за замовчуванням використовують RC4 для захищеного каналу NTLM Netlogon.

Новий ідентифікатор події 5840 не створюється для клієнтів PowerScale OneFS, які працюють у випусках 9.5.0 або новіших версіях. PowerScale OneFS 9.5.0 використовує криптографію AES для NTLM Netlogon.

Ці оновлення Windows від корпорації Майкрософт для вирішення проблеми CVE-2022-38023 не мають функціонального впливу на клієнти PowerScale OneFS, які працюють у будь-якому підтримуваному випуску, починаючи з версії 7.x.

Щоб скористатися перевагами криптографії AES для захищеного каналу NTLM Netlogon у OneFS, оновіть OneFS до PowerScale версії 9.5.0 або новішої.

Підтримка криптографії AES для захищеного каналу NTLM Netlogon не портується на PowerScale OneFS у версіях 9.4.x і старіших версіях.

Пов'язані ресурси
Ось рекомендовані ресурси, пов'язані з цією темою, які можуть зацікавити:

• Стаття Dell 152189, PowerScale OneFS Info Hubs
• Стаття Dell 184794, Поточні патчі PowerScale OneFS
• Стаття Dell 63022, PowerScale: OneFS: Практичні поради щодо настройок клієнта NFS

Наведене нижче значення реєстру не застосовується за замовчуваннямі не спричиняє жодних помилок автентифікації, якщо його навмисно не ввімкнено:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

Якщо навмисно встановлено значення TRUE (1 ), це призведе до помилок автентифікації NTLM у версіях OneFS 9.4.x і старіших версіях.

Перевірте налаштування, виконавши таку команду PowerShell:

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

Приклад виведення, коли його ввімкнено:

Для OneFS 9.4 і більш ранніх версій, а також якщо RejectMd5Clients значення увімкнено, ви бачите подібні помилки в /var/log/lsassd.log для невдалої автентифікації NTLM:

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295