PowerScale: Vulnerabilità legata all'acquisizione di privilegi più elevati in RPC Netlogon (CVE-2022-38023)

PowerScale OneFS utilizza Netlogon come canale sicuro per comunicare con Active Directory. Questo articolo fornisce alcune informazioni sull'impatto di CVE-2022-38023 su PowerScale OneFS.

Ecco l'annuncio della vulnerabilità di sicurezza Microsoft per CVE-2022-38023, vulnerabilità

di elevazione dei privilegi RPC NetlogonMicrosoft ha rilasciato un aggiornamento l'8 novembre 2022 che ha introdotto la seguente chiave del registro di sistema:  

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

Ha tre valori:

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

PowerScale OneFS, per impostazione predefinita, firma e sigilla la connessione del canale protetto di Netlogon La richiesta di sigillatura Netlogon a causa di CVE-2022-38023 non influisce su PowerScale OneFS.

È possibile che vengano visualizzati i seguenti eventi registrati nel Visualizzatore eventi di Windows dei controller di dominio:

Viene creato un nuovo ID evento 5840 con i client PowerScale che eseguono OneFS versione 9.4.x e precedenti che utilizzano RC4 per impostazione predefinita per NTLM Netlogon Secure Channel.

Non viene creato un nuovo ID evento 5840 con i client PowerScale OneFS che eseguono le release 9.5.0 e successive. PowerScale OneFS 9.5.0 utilizza la crittografia AES per la rete NTLM.

Questi aggiornamenti a Windows da parte di Microsoft per risolvere CVE-2022-38023 non hanno alcun impatto funzionale sui client PowerScale OneFS che eseguono qualsiasi versione supportata a partire dalla 7.x.

Per sfruttare i vantaggi della crittografia AES per NTLM Netlogon Secure Channel in OneFS, eseguire l'aggiornamento a PowerScale OneFS versione 9.5.0 o successiva.

Il supporto della crittografia AES per NTLM Netlogon Secure Channel non viene sottoposto a backporting in PowerScale OneFS 9.4.x e versioni precedenti.

Risorse
correlateDi seguito sono riportate le risorse consigliate relative a questo argomento che potrebbero essere di interesse:

• Articolo Dell 152189, Hub di informazioni su PowerScale OneFS
• Articolo 184794 Dell: Patch correnti per PowerScale OneFS
• Articolo Dell 63022, PowerScale: OneFS: best practice per le impostazioni del client NFS

Il seguente valore del Registro di sistema non si applica per impostazione predefinitae non causa errori di autenticazione, a meno che non sia abilitato intenzionalmente:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

Se il valore viene impostato deliberatamente su TRUE (1 ), si verificano errori di autenticazione NTLM in OneFS 9.4.x e versioni precedenti.

Verificare l'impostazione eseguendo il seguente comando PowerShell:

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

Esempio di output dell'abilitazione:

Per OneFS 9.4 e versioni precedenti e se RejectMd5Clients è abilitato, vengono visualizzati errori simili in /var/log/lsassd.log per un'autenticazione NTLM non riuscita:

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295