PowerScale: Vulnerabilidade de elevação de privilégio de RPC do Netlogon (CVE-2022-38023)

O PowerScale OneFS usa o Netlogon como um canal seguro para se comunicar com o Active Directory. Este artigo apresenta algumas informações sobre o impacto do CVE-2022-38023 no PowerScale OneFS.

Este é o anúncio da vulnerabilidade de segurança da Microsoft para CVE-2022-38023, vulnerabilidade de elevação de privilégio  

de RPC do Netlogon A Microsoft lançou uma atualização em 8 de novembro de 2022 que introduziu a seguinte chave do Registro do sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

Isso tem três valores:

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

O PowerScale OneFS, por padrão, assina e sela a conexão de canal seguro do Netlogon A exigência de selamento do Netlogon devido ao CVE-2022-38023 não afeta o PowerScale OneFS.

Você pode ver os seguintes eventos registrados no Visualizador de Eventos do Windows dos controladores de domínio:

Um novo ID de evento 5840 é criado com clientes PowerScale que executam versões 9.4.x e anteriores do OneFS que usam RC4 por padrão para NTLM Netlogon Secure Channel.

Um novo ID de evento 5840 não é criado com clients do PowerScale OneFS que executam as versões 9.5.0 e posteriores. O PowerScale OneFS 9.5.0 usa criptografia AES para Netlogon NTLM.

Essas atualizações para o Windows pela Microsoft para atender ao CVE-2022-38023 não têm impacto funcional nos clients do PowerScale OneFS que executam qualquer versão compatível desde a 7.x.

Para aproveitar a criptografia AES do NTLM Netlogon Secure Channel no OneFS, faça upgrade para o PowerScale OneFS versão 9.5.0 ou posterior.

O suporte à criptografia AES para NTLM Netlogon Secure Channel não está sendo backportado para as versões 9.4.x e anteriores do PowerScale OneFS.

Recursos
relacionadosAqui estão os recursos recomendados relacionados a este tópico que podem ser de interesse:

• Artigo da Dell 152189, Hubs de informações do PowerScale OneFS
• Artigo da Dell 184794, Patches atuais do PowerScale OneFS
• Artigo 63022 da Dell, PowerScale: OneFS: Práticas recomendadas para configurações de client do NFS

O seguinte valor de registro não se aplica por padrãoe não causa nenhuma falha de autenticação, a menos que ativado deliberadamente:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

Se o valor for deliberadamente definido como TRUE (1 ), isso resultará em falhas de autenticação NTLM nas versões 9.4.x e anteriores do OneFS.

Verifique a configuração executando o seguinte comando do PowerShell:

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

Exemplo de resultado da habilitação:

Para OneFS 9.4 e versões anteriores e se o RejectMd5Clients O valor está ativado, você vê erros semelhantes em /var/log/lsassd.log para uma autenticação NTLM com falha:

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295