PowerScale: Säkerhetsproblem med utökad behörighet för Netlogon RPC (CVE-2022-38023)

PowerScale OneFS använder Netlogon som en säker kanal för kommunikation med Active Directory. Den här artikeln innehåller information om effekten av CVE-2022-38023 på PowerScale OneFS.

Här är meddelandet om Microsofts säkerhetsproblem för CVE-2022-38023, Netlogon RPC Säkerhetsproblem  

med utökade privilegier Microsoft släppte en uppdatering den 8 november 2022 som introducerade följande systemregisternyckel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

Det har tre värden:

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

PowerScale OneFS signerar och förseglar som standard Netlogon-anslutningen för säker kanal Krav på Netlogon-försegling på grund av CVE-2022-38023 påverkar inte PowerScale OneFS.

Du kan se följande händelser loggade i Windows Loggboken för domänkontrollanterna:

Ett nytt händelse-ID 5840 skapas med PowerScale-klienter som kör OneFS-version 9.4.x och tidigare som använder RC4 som standard för NTLM Netlogon Secure Channel.

Ett nytt händelse-ID 5840 skapas inte med PowerScale OneFS-klienter som kör version 9.5.0 och senare. PowerScale OneFS 9.5.0 använder AES-kryptering för NTLM Netlogon.

Dessa uppdateringar av Windows från Microsoft för att hantera CVE-2022-38023 har ingen funktionell inverkan på PowerScale OneFS-klienter som kör någon version som stöds sedan 7.x.

Om du vill dra nytta av AES-kryptering för NTLM Netlogon Secure Channel i OneFS uppgraderar du till PowerScale OneFS version 9.5.0 eller senare.

Stöd för AES-kryptering för NTLM Netlogon Secure Channel bakåtporteras inte till PowerScale OneFS-version 9.4.x och tidigare.

Relaterade resurser
Här är rekommenderade resurser relaterade till det här ämnet som kan vara av intresse:

• Dell-artikel 152189, Informationshubbar om PowerScale OneFS
• Dell-artikel 184794, PowerScale OneFS aktuella korrigeringsfiler
• Dell-artikel 63022, PowerScale: OneFS: Metodtips för NFS-klientinställningar

Följande registervärde gäller inte som standardoch orsakar inga autentiseringsfel om det inte aktiveras avsiktligt:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

Om värdet avsiktligt anges till TRUE (1 ) resulterar detta i NTLM-autentiseringsfel i OneFS-versioner 9.4.x och tidigare.

Kontrollera inställningen genom att köra följande PowerShell-kommando:

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

Exempel på utdata från när den är aktiverad:

För OneFS 9.4 och tidigare och om RejectMd5Clients värdet är aktiverat visas liknande fel i /var/log/lsassd.log för en misslyckad NTLM-autentisering:

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295