PowerScale OneFS 使用 Netlogon 作为与 Active Directory 通信的安全通道。本文提供有关 CVE-2022-38023 对 PowerScale OneFS 的影响的一些信息。
以下是针对 CVE-2022-38023 Netlogon RPC 特权提升漏洞
Microsoft 于 2022 年 11 月 8 日发布的更新,其中引入了以下系统注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal
这有三个值:
0 – Disabled 1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts. 2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).
默认情况下,PowerScale OneFS 会签署并密封 Netlogon 安全通道连接由于 CVE-2022-38023 而要求 Netlogon 密封 不会 影响 PowerScale OneFS。
您可能会看到域控制器的 Windows 事件查看器中记录以下事件:
事件 ID | 5840 |
事件文本 | Netlogon 服务使用 RC4 创建了与客户端的安全通道。 |
新事件 ID 5840 是使用运行 OneFS 版本 9.4.x 及更低版本的 PowerScale 客户端创建的, 这些客户端默认将 RC4 用于 NTLM Netlogon 安全通道。
新事件 ID 5840 不是 使用运行版本 9.5.0 及更高版本的 PowerScale OneFS 客户端创建的。PowerScale OneFS 9.5.0 使用 AES 加密进行 NTLM Netlogon。
Microsoft 为解决 CVE-2022-38023 而对 Windows 的这些更新对运行自 7.x 以来任何受支持版本的 PowerScale OneFS 客户端 没有 功能影响。
要在 OneFS 中利用 NTLM Netlogon 安全通道的 AES 加密,请升级到 PowerScale OneFS 版本 9.5.0 或更高版本。
对 NTLM Netlogon 安全通道的 AES 加密支持不会向后移植到 PowerScale OneFS 版本 9.4.x 及更低版本。
相关资源
以下是可能您感兴趣的与此主题相关的推荐资源:
默认情况下,以下注册表值不适用,除非有意启用,否则不会导致任何身份验证失败:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients
如果特意将该值设置为 TRUE (1),这 会导致 OneFS 版本 9.4.x 及更早版本上的 NTLM 身份验证失败。
通过运行以下 PowerShell 命令验证设置:
Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients
启用它的输出示例:
对于 OneFS 9.4 及更低版本,如果 RejectMd5Clients
值已启用,您会在 /var/log/lsassd.log 中看到与失败的 NTLM 身份验证类似的错误:
2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR) 2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED') 2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295