PowerScale: Netlogon RPC Ayrıcalık Yükselmesi Güvenlik Açığı (CVE-2022-38023)

PowerScale OneFS, Active Directory ile iletişim kurmak için güvenli bir kanal olarak Netlogon'u kullanır. Bu makalede, CVE-2022-38023'ün PowerScale OneFS üzerindeki etkisi hakkında bazı bilgiler yer almaktadır.

CVE-2022-38023 için Microsoft Güvenlik Açığı duyurusu, Netlogon RPC Ayrıcalık Yükselmesi Güvenlik Açığı  

Microsoft, 8 Kasım 2022 tarihinde aşağıdaki sistem kayıt defteri anahtarını tanıtan bir güncelleştirme yayımladı:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

Bunun üç değeri vardır:

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

PowerScale OneFS, varsayılan olarak Netlogon güvenli kanal bağlantısını imzalar ve mühürler CVE-2022-38023 nedeniyle Netlogon mühürlemesinin zorunlu kılınması PowerScale OneFS'yi etkilemez.

Etki alanı denetleyicilerinin Windows Olay Görüntüleyicisi'nde günlüğe kaydedilen aşağıdaki olayları görebilirsiniz:

NTLM Netlogon Güvenli Kanal için varsayılan olarak RC4 kullanan OneFS 9.4.x ve önceki sürümlerini çalıştıran PowerScale istemcileriyle Yeni Olay Kimliği 5840 oluşturulur.

9.5.0 ve sonraki sürümleri çalıştıran PowerScale OneFS istemcileriyle Yeni Olay Kimliği 5840 oluşturulmaz. PowerScale OneFS 9.5.0, NTLM Netlogon için AES şifrelemesi kullanır.

Microsoft tarafından CVE-2022-38023 e yönelik olarak yapılan bu Windows güncellemelerinin, 7.x'ten bu yana desteklenen herhangi bir sürümü çalıştıran PowerScale OneFS istemcileri üzerinde işlevsel bir etkisi yoktur .

OneFS'de NTLM Netlogon Güvenli Kanal için AES şifrelemesinden yararlanmak üzere PowerScale OneFS sürüm 9.5.0 veya üzerine yükseltin.

NTLM Netlogon Güvenli Kanal için AES şifreleme desteği, PowerScale OneFS 9.4.x ve önceki sürümlere geri taşınmıyor.

İlgili Kaynaklar
Bu konuyla ilgili ilginizi çekebilecek önerilen kaynaklar şunlardır:

• Dell makalesi 152189, PowerScale OneFS Bilgi Merkezleri
• Dell makalesi 184794, PowerScale OneFS Geçerli Yamalar
• Dell makalesi 63022, PowerScale: OneFS: NFS istemci ayarları için en iyi uygulamalar

Aşağıdaki kayıt defteri değeri varsayılan olarakgeçerli değildir ve kasıtlı olarak etkinleştirilmediği sürece herhangi bir kimlik doğrulama hatasına neden olmaz:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

Değer kasıtlı olarak TRUE (1) olarak ayarlanırsa bu durum, OneFS 9.4.x ve önceki sürümlerinde NTLM kimlik doğrulama hatalarına neden olur .

Aşağıdaki PowerShell komutunu çalıştırarak ayarı doğrulayın:

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

Etkinleştirilmesinin örnek çıktısı:

OneFS 9.4 ve önceki sürümler için RejectMd5Clients değeri etkinleştirildiyse başarısız bir NTLM kimlik doğrulaması için /var/log/lsassd.log içinde benzer hatalar görürsünüz:

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295