PowerScale: Vulnerabilidad de elevación de privilegios de RPC de Netlogon (CVE-2022-38023)

PowerScale OneFS utiliza Netlogon como un canal seguro para comunicarse con Active Directory. En este artículo, se proporciona información sobre el impacto de CVE-2022-38023 en PowerScale OneFS.

Este es el anuncio de vulnerabilidad de seguridad de Microsoft para CVE-2022-38023, Netlogon RPC Elevation of Privilege Vulnerability  

Microsoft lanzó una actualización el 8 de noviembre de 2022 que introdujo la siguiente clave de registro del sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

Tiene tres valores:

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

PowerScale OneFS, de manera predeterminada, firma y sella la conexión del canal seguro de Netlogon Requerir el sellado de Netlogon debido a CVE-2022-38023 no afecta a PowerScale OneFS.

Es posible que vea los siguientes eventos registrados en el Visor de eventos de Windows de las controladoras de dominio:

Se crea un nuevo ID de evento 5840 con clientes PowerScale que ejecutan OneFS 9.4.x y versiones anteriores que utilizan RC4 de manera predeterminada para NTLM Netlogon Secure Channel.

No se crea un ID de evento nuevo 5840 con clientes de PowerScale OneFS que ejecutan las versiones 9.5.0 y posteriores. PowerScale OneFS 9.5.0 utiliza criptografía AES para Netlogon NTLM.

Estas actualizaciones a Windows por parte de Microsoft para abordar CVE-2022-38023 no tienen ningún impacto funcional en los clientes de PowerScale OneFS que ejecutan cualquier versión compatible desde 7.x.

Para aprovechar la criptografía AES para NTLM Netlogon Secure Channel en OneFS, actualice a PowerScale OneFS versión 9.5.0 o posterior.

El soporte de la criptografía AES para el canal seguro de Netlogon de NTLM no se está retroportando a las versiones 9.4.x y anteriores de PowerScale OneFS.

Recursos
relacionadosEstos son recursos recomendados relacionados con este tema que pueden ser de interés:

• Artículo 152189 de Dell, Centros de información de PowerScale OneFS
• Artículo 184794 de Dell, Parches actuales de PowerScale OneFS
• Artículo de Dell 63022, PowerScale: OneFS: Prácticas recomendadas para los ajustes del cliente de NFS

El siguiente valor de registro no se aplica de manera predeterminaday no causa errores de autenticación, a menos que se habilite deliberadamente:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

Si el valor se establece deliberadamente en TRUE (1), esto provoca fallas de autenticación de NTLM en OneFS 9.4.x y versiones anteriores.

Verifique el ajuste mediante la ejecución del siguiente comando de PowerShell:

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

Ejemplo de salida de la habilitación:

Para OneFS 9.4 y versiones anteriores, y si el RejectMd5Clients está habilitado, verá errores similares en /var/log/lsassd.log para una autenticación NTLM fallida:

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295