PowerScale: Sikkerhetsproblem med Netlogon RPC som kan føre til rettighetsutvidelse (CVE-2022-38023)

PowerScale OneFS bruker Netlogon som en sikker kanal for kommunikasjon med Active Directory. Denne artikkelen inneholder litt informasjon om påvirkningen av CVE-2022-38023 på PowerScale OneFS.

Her er kunngjøringen om Microsofts sikkerhetssårbarhet for sikkerhetsproblemet CVE-2022-38023, Netlogon RPC rettighetsutvidelse  

Microsoft ga ut en oppdatering November 8, 2022 som introduserte følgende systemregisternøkkel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

Det har tre verdier:

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

PowerScale OneFS signerer og forsegler Netlogon sikker kanaltilkobling som standard Krever Netlogon-forsegling på grunn av CVE-2022-38023, påvirker ikke PowerScale OneFS.

Det kan hende du ser følgende hendelser logget i Windows Hendelsesliste for domenekontrollere:

En ny hendelses-ID 5840 opprettes med PowerScale-klienter som kjører OneFS-utgivelser 9.4.x og eldre, som bruker RC4 som standard for sikker kanal for NTLM Netlogon.

En ny hendelses-ID 5840 opprettes ikke med PowerScale OneFS-klienter som kjører versjonene 9.5.0 og nyere. PowerScale OneFS 9.5.0 bruker AES-kryptografi for NTLM-nettpålogging.

Disse oppdateringene av Windows fra Microsoft for å håndtere CVE-2022-38023 har ingen funksjonell innvirkning på PowerScale OneFS-klienter som kjører noen støttede versjoner siden 7.x.

Hvis du vil dra nytte av AES-kryptografi for sikker kanal for NTLM Netlogon i OneFS, må du oppgradere til PowerScale OneFS versjon 9.5.0 eller nyere.

Støtten for AES-kryptografi for sikker kanal for NTLM Netlogon blir ikke backportert til PowerScale OneFS-utgivelsene 9.4.x og eldre.

Relaterte ressurser
Her er anbefalte ressurser relatert til dette emnet som kan være av interesse:

• Dell-artikkel 152189, PowerScale OneFS Info Hubs
• Dell-artikkel 184794, Gjeldende korrigeringsfiler for PowerScale OneFS
• Dell-artikkel 63022, PowerScale: OneFS: Anbefalte fremgangsmåter for NFS-klientinnstillinger

Følgende registerverdi gjelder ikke som standardog forårsaker ikke godkjenningsfeil med mindre den er aktivert med hensikt:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

Hvis verdien bevisst er satt til SANN (1 ), fører dette til NTLM-godkjenningsfeil på OneFS-utgivelser 9.4.x og eldre.

Kontroller innstillingen ved å kjøre følgende PowerShell-kommando:

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

Eksempel på at dette er aktivert:

For OneFS 9.4 og eldre, og hvis RejectMd5Clients -verdien er aktivert, ser du lignende feil i /var/log/lsassd.log for en mislykket NTLM-godkjenning:

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295