Existe uma vulnerabilidade de elevação de privilégio do Netlogon RPC em todas as versões do Windows que não receberam as atualizações de segurança de 8 de novembro de 2022. Da Microsoft:
As atualizações do Windows de 8 de novembro de 2022 e posteriores abordam pontos problemáticos no protocolo Netlogon quando a assinatura de RPC é usada em vez de vedação de RPC. Mais informações podem ser encontradas no CVE-2022-38023. A interface de chamada de procedimento remoto (RPC) do Netlogon Remote Protocol é usada principalmente para manter a relação entre um dispositivo e seu domínio e as relações entre controladores de domínio (DCs) e domínios. Esta atualização protege os dispositivos Windows do CVE-2022-38023 por padrão. Para clients de terceiros e controladores de domínio de terceiros, a atualização está no modo de compatibilidade por padrão e permite conexões vulneráveis de tais clients. [...] Importante A partir de junho de 2023, o modo de imposição será ativado em todos os controladores de domínio do Windows e bloqueará conexões vulneráveis de dispositivos não compatíveis. Nesse momento, você não poderá desativar a atualização, mas poderá voltar para a configuração do modo de compatibilidade. O modo de compatibilidade será removido em julho de 2023[.] [1] |
Para qualquer domínio do Windows que tenha recebido a atualização de segurança de 11 de abril de 2023, a Microsoft está postando mensagens no registro de eventos do controlador de domínio indicando o fato de que um sistema está se conectando ao domínio de maneira não segura. Um sistema Dell Unity executando pelo menos a versão 5.0.6, mas menor que a versão 5.1.0 que se conecta ao domínio, gera o erro 5838 no registro de eventos:
Registro de eventos |
Sistema |
Tipo de evento |
Erro |
Origem do evento |
NETLOGON |
ID do evento |
5838 |
Texto do evento |
O serviço Netlogon encontrou um client usando a assinatura RPC em vez de vedação de RPC. |
Esta mensagem destina-se a alertar os administradores de que um sistema será bloqueado por uma atualização de segurança futura.
Em 13 de junho de 2023, a Microsoft enviará outra atualização de segurança que ativará o modo de imposição em todos os sistemas de terceiros associados ao domínio e bloqueará conexões de todos os dispositivos que não suportam vedação de RPC. Embora os administradores não possam remover a restrição, eles podem mover esses sistemas de terceiros de volta para o modo de compatibilidade.
A capacidade de colocar domínios no modo de compatibilidade será removida por uma atualização de segurança subsequente em 11 de julho de 2023.
Corrigir:
A partir do Unity Operating Environment (OE) versão 5.1.0 e posterior, a Dell oferece suporte total à vedação de RPC conforme exigido pela Microsoft. A versão 5.1.0 foi lançada em 21 de junho de 2021. Faça upgrade para o Unity OE versão 5.1.0 ou posterior para corrigir esse problema.
Solução alternativa:
- Quando o modo de imposição estiver ativado em junho de 2023, os administradores poderão mover suas conexões de terceiros de volta para o modo de compatibilidade para dar suporte a sistemas Unity que não tenham sido atualizados para a versão 5.1.0 ou posterior.
- Quando o modo de compatibilidade for removido em julho de 2023, não haverá mais solução temporária disponível. Os administradores devem seguir a correção acima para restabelecer as comunicações com os sistemas Dell Unity.