PowerScale: Beveiligingslek met betrekking tot misbruik van bevoegdheden bij Netlogon RPC (CVE-2022-38023)

PowerScale OneFS gebruikt Netlogon als een beveiligd kanaal om te communiceren met Active Directory. Dit artikel bevat informatie over de impact van CVE-2022-38023 op PowerScale OneFS.

Hier is de aankondiging van het beveiligingslek van Microsoft voor CVE-2022-38023, Netlogon RPC beveiligingslek met betrekking tot  

misbruik van bevoegdheden Microsoft heeft op 8 november 2022 een update uitgebracht waarin de volgende systeemregistersleutel wordt geïntroduceerd:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

Dat heeft drie waarden:

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

PowerScale OneFS ondertekent en verzegelt standaard de beveiligde Netlogon-kanaalverbinding Als Netlogon-verzegeling vereist is vanwege CVE-2022-38023, heeft dit geen invloed op PowerScale OneFS.

Mogelijk worden de volgende gebeurtenissen vastgelegd in de Windows-logboeken van de domeincontrollers:

Er wordt een nieuwe gebeurtenis-id 5840 gemaakt met PowerScale clients met OneFS releases 9.4.x en eerder, die standaard RC4 gebruiken voor NTLM Netlogon Secure Channel.

Er wordt geen nieuwe gebeurtenis-id 5840 gemaakt met PowerScale OneFS clients met releases 9.5.0 en hoger. PowerScale OneFS 9.5.0 maakt gebruik van AES-cryptografie voor NTLM Netlogon.

Deze updates voor Windows door Microsoft om CVE-2022-38023 aan te pakken hebben geen functionele invloed op PowerScale OneFS clients met een ondersteunde release sinds 7.x.

Als u wilt profiteren van AES-cryptografie voor NTLM Netlogon Secure Channel in OneFS, moet u upgraden naar PowerScale OneFS release 9.5.0 of hoger.

De ondersteuning van AES-cryptografie voor NTLM Netlogon Secure Channel wordt niet teruggezet naar PowerScale OneFS releases 9.4.x en eerder.

Gerelateerde bronnen
Hier zijn aanbevolen bronnen met betrekking tot dit onderwerp die mogelijk interessant zijn:

• Dell artikel 152189, PowerScale OneFS Info Hubs
• Dell artikel 184794, PowerScale OneFS huidige patches
• Dell article 63022, PowerScale: OneFS: Best practices voor NFS-clientinstellingen

De volgende registerwaarde is niet standaardvan toepassing en veroorzaakt geen mislukte verificatie, tenzij deze optie opzettelijk is ingeschakeld:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

Als de waarde bewust is ingesteld op TRUE (1), leidt dit tot NTLM-verificatiefouten op OneFS releases 9.4.x en eerder.

Controleer de instelling door de volgende PowerShell-opdracht uit te voeren:

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

Voorbeelduitvoer van het inschakelen ervan:

Voor OneFS 9.4 en ouder en als de RejectMd5Clients waarde is ingeschakeld, ziet u vergelijkbare fouten in /var/log/lsassd.log voor een mislukte NTLM-verificatie:

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295