Det finns ett utökat säkerhetsproblem med utökad behörighet för Netlogon RPC i alla versioner av Windows som inte har fått säkerhetsuppdateringarna den 8 november 2022. Från Microsoft:
| Windows-uppdateringarna den 8 november 2022 och senare innehåller information om sårbarheten i Netlogon-protokollet när RPC-signering används i stället för RPC-försegling. Mer information finns i CVE-2022-38023.
RPC-gränssnittet (Remote Protocol Remote Protocol Remote Procedure Call) används främst för att upprätthålla förhållandet mellan en enhet och dess domän och relationer mellan domänkontrollanter (DC:er) och domäner.
Den här uppdateringen skyddar Windows-enheter från CVE-2022-38023 som standard. För klienter från tredje part och domänkontrollanter från tredje part är uppdateringen som standard i kompatibilitetsläge och tillåter sårbara anslutningar från sådana klienter. [...]
Viktigt! Från och med juni 2023 aktiveras övervakningsläget på alla Windows-domänkontrollanter och blockerar sårbara anslutningar från icke-kompatibla enheter. Då kan du inte avaktivera uppdateringen, men du kan gå tillbaka till inställningen för kompatibilitetsläge. Kompatibilitetsläget tas bort i juli 2023[.] [1] |
För alla Windows-domäner som har fått säkerhetsuppdateringen den 11 april 2023 skickar Microsoft meddelanden till domänkontrollantens händelselogg som indikerar det faktum att ett system ansluter till domänen på ett osäkert sätt. Ett Dell Unity-system som körs med minst version 5.0.6 men tidigare än version 5.1.0 och ansluter till domänen genererar fel 5838 i händelseloggen:
| Händelselogg |
System |
| Händelsetyp |
Fel |
| Händelsekälla |
NETLOGON |
| Händelse-ID |
5838 |
| Händelsetext |
Netlogon-tjänsten påträffade en klient som använde RPC-signering istället för RPC-försegling. |
Det här meddelandet är avsett att varna administratörer om att ett system så småningom blockeras av en framtida säkerhetsuppdatering.
Den 13 juni 2023 kommer Microsoft att skicka ut en annan säkerhetsuppdatering som aktiverar verkställningsläge på alla tredjepartsdomänanslutna system och kommer att blockera anslutningar från alla enheter som inte stöder RPC-försegling. Även om administratörer inte kan ta bort begränsningen kan de flytta tillbaka systemen från tredje part till kompatibilitetsläge.
Möjligheten att placera domäner i kompatibilitetsläge tas bort i en efterföljande säkerhetsuppdatering den 11 juli 2023.
Fixa:
Från och med Unity Operating Environment (OE) version 5.1.0 och senare har Dell fullt stöd för RPC-försegling enligt Microsofts krav. Version 5.1.0 släpptes den 21 juni 2021. Uppgradera till Unity OE version 5.1.0 eller senare för att åtgärda problemet.
Workaround:
- När Verkställningsläge aktiveras i juni 2023 kan administratörer flytta sina anslutningar från tredje part tillbaka till kompatibilitetsläge för att stödja Unity-system som inte har uppgraderats till 5.1.0 eller senare.
- När kompatibilitetsläget tas bort i juli 2023 finns det ingen ytterligare lösning tillgänglig. Administratörer måste följa korrigeringen ovan för att återupprätta kommunikationen med Dell Unity-systemen.