Esiste una vulnerabilità di elevazione dei privilegi RPC Netlogon in tutte le versioni di Windows che non hanno ricevuto gli aggiornamenti della sicurezza dell'8 novembre 2022. Da Microsoft:
L'8 novembre 2022 e gli aggiornamenti di Windows successivi affrontano i punti deboli del protocollo Netlogon quando si utilizza la firma RPC anziché il sigillo RPC. Ulteriori informazioni sono disponibili in CVE-2022-38023. L'interfaccia RPC (Remote Procedure Call) Netlogon viene utilizzata principalmente per mantenere la relazione tra un dispositivo e il relativo dominio e le relazioni tra controller di dominio e domini. Questo aggiornamento protegge i dispositivi Windows da CVE-2022-38023 per impostazione predefinita. Per i client di terze parti e i controller di dominio di terze parti, l'aggiornamento è in modalità Compatibilità per impostazione predefinita e consente connessioni vulnerabili da tali client. [...] Importante A partire da giugno 2023, la modalità Applicazione verrà abilitata su tutti i controller di dominio Windows e bloccherà le connessioni vulnerabili da dispositivi non conformi. A quel tempo, non sarà possibile disabilitare l'aggiornamento, ma è possibile tornare all'impostazione della modalità compatibilità. La modalità di compatibilità verrà rimossa a luglio 2023[.] [1]. |
Per qualsiasi dominio Windows che abbia ricevuto l'aggiornamento della sicurezza dell'11 aprile 2023, Microsoft pubblica messaggi nel registro eventi del controller di dominio che indicano che un sistema si sta connettendo al dominio in modo non sicuro. Un sistema Dell Unity che esegue almeno la versione 5.0.6, ma meno della versione 5.1.0 che si connette al dominio genera l'errore 5838 nel registro eventi:
Registro eventi |
Sistema |
Tipo di evento |
Errore |
Origine evento |
NETLOGON |
ID evento |
5838 |
Testo evento |
Il servizio Netlogon ha riscontrato un client che utilizza la firma RPC anziché il sigillo RPC. |
Questo messaggio ha lo scopo di avvisare gli amministratori che un sistema verrà bloccato da un futuro aggiornamento della sicurezza.
Il 13 giugno 2023 Microsoft invierà un altro aggiornamento della sicurezza che abiliterà la modalità Enforcement su tutti i sistemi aggiunti a un dominio di terze parti e bloccherà le connessioni da tutti i dispositivi che non supportano la sigillazione RPC. Sebbene gli amministratori non possano rimuovere la restrizione, possono riportare i sistemi di terze parti alla modalità compatibilità.
La possibilità di inserire i domini in modalità compatibilità verrà rimossa da un successivo aggiornamento della sicurezza l'11 luglio 2023.
Correzione:
A partire da Unity Operating Environment (OE) versione 5.1.0 e successive, Dell supporta completamente la sigillazione RPC come richiesto da Microsoft. La versione 5.1.0 è stata rilasciata il 21 giugno 2021. Eseguire l'aggiornamento a Unity OE versione 5.1.0 o successiva per risolvere il problema.
Soluzione:
- Quando la modalità Applicazione è abilitata a giugno 2023, gli amministratori possono spostare le connessioni di terze parti alla modalità Compatibilità per supportare i sistemi Unity che non sono stati aggiornati alla versione 5.1.0 o successiva.
- Quando la modalità Compatibilità viene rimossa a luglio 2023, non sarà disponibile alcuna soluzione alternativa. Gli amministratori devono seguire la correzione riportata sopra per ristabilire le comunicazioni con i sistemi Dell Unity.