Une vulnérabilité d’élévation de privilèges Netlogon RPC existe dans toutes les versions de Windows qui n’ont pas reçu les mises à jour de sécurité du 8 novembre 2022. De Microsoft:
Les mises à jour Windows du 8 novembre 2022 et ultérieures répondent aux faiblesses du protocole Netlogon lorsque la signature RPC est utilisée au lieu de sceller RPC. Vous trouverez plus d’informations dans CVE-2022-38023. L’interface RPC (Remote Procedure Call) de Netlogon Remote Protocol est principalement utilisée pour maintenir la relation entre un périphérique et son domaine, ainsi que les relations entre les contrôleurs de domaine (DC) et les domaines. Cette mise à jour protège les périphériques Windows à partir de CVE-2022-38023 par défaut. Pour les clients tiers et les contrôleurs de domaine tiers, la mise à jour est en mode de compatibilité par défaut et autorise les connexions vulnérables à partir de ces clients. [...] Important À partir de juin 2023, le mode de mise en œuvre sera activé sur tous les contrôleurs de domaine Windows et bloquera les connexions vulnérables à partir d’appareils non conformes. À ce moment-là, vous ne serez pas en mesure de désactiver la mise à jour, mais vous pouvez revenir au paramètre du mode de compatibilité. Le mode de compatibilité sera supprimé en juillet 2023[.] [1] |
Pour tout domaine Windows qui a reçu la mise à jour de sécurité du 11 avril 2023, Microsoft publie des messages dans le journal des événements du contrôleur de domaine indiquant qu’un système se connecte au domaine de manière non sécurisée. Un système Dell Unity exécutant au moins la version 5.0.6 mais inférieure à la version 5.1.0 se connectant au domaine génère l’erreur 5838 dans le journal des événements:
Journal des événements |
Système |
Type d’événement |
Error (Erreur) |
Source d’événement |
NETLOGON |
ID d’événement |
5838 |
Texte de l’événement |
Le service Netlogon a rencontré un client utilisant la signature RPC au lieu de sceller RPC. |
Ce message est destiné à alerter les administrateurs qu’un système sera finalement bloqué par une future mise à jour de sécurité.
Le 13 juin 2023, Microsoft enverra une autre mise à jour de sécurité qui activera le mode Application sur tous les systèmes tiers joints au domaine et bloquera les connexions à partir de tous les périphériques qui ne prennent pas en charge le scellement RPC. Bien que les administrateurs ne puissent pas supprimer la restriction, ils peuvent replacer ces systèmes tiers en mode de compatibilité.
La possibilité de placer des domaines en mode de compatibilité sera supprimée par une mise à jour de sécurité ultérieure le 11 juillet 2023.
Difficulté:
À partir de Unity Operating Environment (OE) version 5.1.0 et versions ultérieures, Dell prend entièrement en charge le scellement RPC tel que requis par Microsoft. La version 5.1.0 a été publiée le 21 juin 2021. Effectuez une mise à niveau vers Unity OE version 5.1.0 ou supérieure pour résoudre ce problème.
Contournement:
- Lorsque le mode d’application est activé en juin 2023, les administrateurs peuvent replacer leurs connexions tierces en mode compatibilité afin de prendre en charge les systèmes Unity qui n’ont pas été mis à niveau vers la version 5.1.0 ou une version supérieure.
- Lorsque le mode de compatibilité est supprimé en juillet 2023, aucune autre solution de contournement n’est disponible. Les administrateurs doivent suivre le correctif ci-dessus pour rétablir les communications avec les systèmes Dell Unity.