In allen Versionen von Windows, die nicht die Sicherheitsupdates vom 8. November 2022 erhalten haben, besteht eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen durch Netlogon RPC. Von Microsoft:
Die Windows-Updates vom 8. November 2022 und höher beheben Schwächen im Netlogon-Protokoll, wenn RPC-Signaturen anstelle von RPC-Dichtungen verwendet werden. Weitere Informationen finden Sie unter CVE-2022-38023. Die RPC-Schnittstelle (Remote Procedure Call) des Netlogon Remote Protocol wird in erster Linie verwendet, um die Beziehung zwischen einem Gerät und seiner Domain und den Beziehungen zwischen Domänencontrollern (DCs) und Domains aufrechtzuerhalten. Dieses Update schützt Windows-Geräte standardmäßig vor CVE-2022-38023. Für Drittanbieterclients und Domänencontroller von Drittanbietern befindet sich die Aktualisierung standardmäßig im Kompatibilitätsmodus und ermöglicht anfällige Verbindungen von solchen Clients. [...] Wichtig Ab Juni 2023 wird der Durchsetzungsmodus auf allen Windows-Domänencontrollern aktiviert sein und anfällige Verbindungen von nicht konformen Geräten blockieren. Zu diesem Zeitpunkt können Sie die Aktualisierung nicht deaktivieren, aber möglicherweise wieder zur Einstellung des Kompatibilitätsmodus zurückkehren. Der Kompatibilitätsmodus wird im Juli 2023 entfernt[.] [1] |
Für jede Windows-Domain, die das Sicherheitsupdate vom 11. April 2023 erhalten hat, veröffentlicht Microsoft Meldungen im Ereignisprotokoll des Domänencontrollers, die darauf hinweisen, dass ein System auf unsichere Weise eine Verbindung mit der Domain herstellt. Ein Dell Unity-System mit mindestens Version 5.0.6, aber weniger als Version 5.1.0, das eine Verbindung mit der Domain herstellt, erzeugt Fehler 5838 im Ereignisprotokoll:
Ereignisprotokoll |
System |
Ereignistyp |
Fehler |
Ereignisquelle |
NETLOGON |
Ereignis-ID |
5838 |
Ereignistext |
Der Netlogon-Service hat einen Client gefunden, der RPC-Signaturen anstelle von RPC-Signierung verwendet. |
Diese Meldung soll Administratoren darauf hinweisen, dass ein System nach einem späteren Zeitpunkt durch ein zukünftiges Sicherheitsupdate blockiert wird.
Am 13. Juni 2023 sendet Microsoft ein weiteres Sicherheitsupdate, das den Erzwingungsmodus auf allen Domänen-verbundenen Systemen von Drittanbietern aktiviert und Verbindungen von allen Geräten blockiert, die RPC-Warnungen nicht unterstützen. Administratoren können die Einschränkung zwar nicht entfernen, aber sie können diese Drittanbietersysteme wieder in den Kompatibilitätsmodus versetzen.
Die Möglichkeit, Domains in den Kompatibilitätsmodus zu versetzen, wird durch ein nachfolgendes Sicherheitsupdate am 11. Juli 2023 entfernt.
Lösung:
Ab Unity Operating Environment (OE) Version 5.1.0 und höher unterstützt Dell RPC-Versiegelung vollständig, wie von Microsoft gefordert. Version 5.1.0 wurde am 21. Juni 2021 veröffentlicht. Führen Sie ein Upgrade auf Unity OE Version 5.1.0 oder höher durch, um dieses Problem zu beheben.
Problemumgehung:
- Wenn der Durchsetzungsmodus im Juni 2023 aktiviert ist, können Administratoren ihre Drittanbieterverbindungen zurück in den Kompatibilitätsmodus verschieben, um Unity-Systeme zu unterstützen, die nicht auf 5.1.0 oder höher aktualisiert wurden.
- Wenn der Kompatibilitätsmodus im Juli 2023 entfernt wird, gibt es keinen weiteren Workaround. Administratoren müssen die oben beschriebene Korrektur befolgen, um die Kommunikation mit Dell Unity-Systemen wiederherstellungen zu ermöglichen.