PowerScale: Luka w zabezpieczeniach Netlogon RPC umożliwiająca podniesienie uprawnień (CVE-2022-38023)

PowerScale OneFS używa Netlogon jako bezpiecznego kanału komunikacji z usługą Active Directory. Ten artykuł zawiera informacje na temat wpływu luki CVE-2022-38023 na system PowerScale OneFS.

Oto ogłoszenie o luce w zabezpieczeniach firmy Microsoft dotyczącej luki w zabezpieczeniach CVE-2022-38023, luka w zabezpieczeniach Netlogon RPC Elevated  

of Privilege Firma Microsoft wydała aktualizację 8 listopada 2022 r., która wprowadziła następujący klucz rejestru systemowego:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

Ma to trzy wartości:

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

PowerScale OneFS domyślnie podpisuje i pieczętuje połączenie bezpiecznego kanału Netlogon Wymaganie uszczelnienia Netlogon ze względu na CVE-2022-38023 nie wpływa na PowerScale OneFS.

W Podglądzie zdarzeń systemu Windows kontrolerów domeny mogą być rejestrowane następujące zdarzenia:

Nowy identyfikator zdarzenia 5840 jest tworzony dla klientów PowerScale z systemem OneFS w wersji 9.4.x lub starszej, które domyślnie używają wersji RC4 dla bezpiecznego kanału NTLM Netlogon.

Nowy identyfikator zdarzenia 5840 nie jest tworzony w przypadku klientów PowerScale OneFS z wersją 9.5.0 lub nowszą. PowerScale OneFS 9.5.0 wykorzystuje kryptografię AES do obsługi NTLM Netlogon.

Aktualizacje systemu Windows firmy Microsoft mające na celu rozwiązanie problemu CVE-2022-38023 nie mają wpływu na działanie systemów klienckich PowerScale OneFS z uruchomionymi dowolnymi obsługiwanymi wersjami od wersji 7.x.

Aby korzystać z kryptografii AES dla bezpiecznego kanału NTLM Netlogon w OneFS, uaktualnij system PowerScale OneFS do wersji 9.5.0 lub nowszej.

Obsługa kryptografii AES dla bezpiecznego kanału NTLM Netlogon nie jest przenoszona do wersji PowerScale OneFS 9.4.x i starszych.

Powiązane zasoby
Poniżej przedstawiono zalecane zasoby związane z tym tematem, które mogą Cię zainteresować:

• Artykuł firmy Dell nr 152189, Centra informacji PowerScale OneFS
• Artykuł 184794 firmy Dell, Aktualne poprawki PowerScale OneFS
• Artykuł Dell 63022, PowerScale: OneFS: Najlepsze praktyki dotyczące ustawień klienta NFS

Poniższa wartość rejestru nie ma zastosowania domyślniei nie powoduje żadnych błędów uwierzytelniania, chyba że jest celowo włączona:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

Jeśli wartość jest celowo ustawiona na TRUE (1), powoduje to błędy uwierzytelniania NTLM w OneFS w wersjach 9.4.x i starszych.

Sprawdź ustawienie, uruchamiając następujące polecenie programu PowerShell:

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

Przykładowe dane wyjściowe włączenia:

W przypadku systemu OneFS 9.4 i starszych oraz jeśli RejectMd5Clients wartość jest włączona, podobne błędy są wyświetlane w /var/log/lsassd.log dla nieudanego uwierzytelniania NTLM:

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295