Registro de cambios
Cambio 1: 5 de abril de 2023: Se ha movido la fase "Obligatoriedad predeterminada" de la clave del Registro del 11 de abril de 2023 al 13 de junio de 2023 en la sección "Intervalos de actualizaciones para abordar CVE-2022-38023". Cambio 2: 20 de abril de 2023: Se ha quitado la referencia inexacta al objeto de directiva de grupo (GPO) "Controlador de dominio: permitir conexiones de canal seguras de Netlogon vulnerables" en la sección "Configuración de la clave del registro". Cambio 3: 19 de junio de 2023:
|
En este artículo
Resumen
Las actualizaciones de Windows del 8 de noviembre de 2022 y posteriores solucionan los puntos débiles del protocolo Netlogon cuando se utiliza la firma RPC en lugar del sellado RPC. Puede encontrar más información en CVE-2022-38023 .
La interfaz de llamada a procedimiento remoto (RPC) del protocolo remoto Netlogon se usa principalmente para mantener la relación entre un dispositivo y su dominio y las relaciones entre los controladores de dominio (DCs) y los dominios.
Esta actualización protege los dispositivos Windows de CVE-2022-38023 de manera predeterminada. Para los clientes de terceros y los controladores de dominio de terceros, la actualización está en modo de compatibilidad de forma predeterminada y permite conexiones vulnerables desde dichos clientes. Consulte la sección configuración de la clave del Registro para conocer los pasos para pasar al modo de cumplimiento.
Para ayudar a proteger su entorno, instale la actualización de Windows con fecha del 8 de noviembre de 2022 o una actualización posterior de Windows en todos los dispositivos, incluidos los controladores de dominio.
Importante A partir de junio de 2023, el modo de cumplimiento se habilitará en todos los controladores de dominio de Windows y bloqueará las conexiones vulnerables de los dispositivos no compatibles. En ese momento, no podrá deshabilitar la actualización, pero puede volver a la configuración del modo de compatibilidad. El modo de compatibilidad se quitará en julio de 2023, como se describe en la sección Calendario de actualizaciones para abordar la vulnerabilidad de Netlogon CVE-2022-38023
Calendario de actualizaciones para abordar CVE-2022-38023
Las actualizaciones se publicarán en varias fases: la fase inicial para las actualizaciones publicadas el 8 de noviembre de 2022 o después, y la fase de cumplimiento para las actualizaciones publicadas el 11 de julio de 2023 o después.
La fase de implementación inicial comienza con las actualizaciones publicadas el 8 de noviembre de 2022 y continúa con las actualizaciones posteriores de Windows hasta la fase de cumplimiento. Las actualizaciones de Windows a partir del 8 de noviembre de 2022 solucionan la vulnerabilidad de omisión de seguridad de dirección de CVE-20 22-38023 aplicando el sellado RPC en todos los clientes Windows.
De forma predeterminada, los dispositivos se establecerán en modo de compatibilidad. Los controladores de dominio de Windows requerirán que los clientes de Netlogon utilicen el sello RPC si están ejecutando Windows, o si están actuando como controladores de dominio o como cuentas de confianza.
Las actualizaciones de Windows publicadas a partir del 11 de abril de 2023 quitarán la capacidad de deshabilitar el sellado RPC estableciendo el valor 0 en la subclave del registro RequireSeal .
La subclave del registro RequireSeal se moverá al modo aplicado, a menos que los administradores configuren explícitamente que esté en modo de compatibilidad. Se denegará la autenticación a las conexiones vulnerables de todos los clientes, incluidos terceros. Vea Cambio 1.
Las actualizaciones de Windows publicadas el 11 de julio de 2023 quitarán la capacidad de establecer el valor 1 en la subclave del registro RequireSeal . Esto habilita la fase de cumplimiento de CVE-2022-38023.
Configuración de clave del Registro
Después de instalar las actualizaciones de Windows con fecha del 8 de noviembre de 2022 o posteriores, la siguiente subclave del registro está disponible para el protocolo Netlogon en los controladores de dominio de Windows.
IMPORTANTE Esta actualización, así como futuros cambios de aplicación, no agrega ni quita automáticamente la subclave del registro "RequireSeal". Esta subclave del registro se debe agregar manualmente para que se lea. Vea Cambio 3.
Subclave RequireSeal
Clave del registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Valor |
RequireSeal |
Tipo de datos |
REG_DWORD |
Datos |
0 - Deshabilitado 1 - Modo de compatibilidad. Los controladores de dominio de Windows requerirán que los clientes de Netlogon utilicen el sello RPC si están ejecutando Windows, o si están actuando como controladores de dominio o cuentas de confianza. 2 - Modo de cumplimiento. Todos los clientes deben utilizar el sello RPC. Vea Cambio 2. |
¿Es necesario reiniciar ? |
No |
Eventos de Windows relacionados con CVE-2022-38023
NOTA Los eventos siguientes tienen un búfer de 1 hora en el que se descartan los eventos duplicados que contienen la misma información durante ese búfer.
Registro de eventos |
Sistema |
Tipos de eventos |
Error |
Origen del evento |
NETLOGON |
Id. de evento |
5838 |
Texto del evento |
El servicio Netlogon encontró un cliente que usaba la firma RPC en lugar del sellado RPC. |
Si encuentra este mensaje de error en los registros de eventos, debe realizar las siguientes acciones para resolver el error del sistema:
-
Confirme que el dispositivo ejecuta una versión compatible de Windows.
-
Compruebe que todos los dispositivos estén actualizados.
-
Asegúrese de que el miembro del dominio: Miembro del dominio Cifrar o firmar digitalmente los datos del canal seguro (siempre) esté establecido en Habilitado .
Registro de eventos |
Sistema |
Tipos de eventos |
Error |
Origen del evento |
NETLOGON |
Id. de evento |
5839 |
Texto del evento |
El servicio Netlogon encontró una confianza mediante la firma RPC en lugar del sellado RPC. |
Registro de eventos |
Sistema |
Tipos de eventos |
Advertencia |
Origen del evento |
NETLOGON |
Id. de evento |
5840 |
Texto del evento |
El servicio Netlogon creó un canal seguro con un cliente con RC4. |
Si encuentra el evento 5840, se trata de un signo de que un cliente de su dominio usa criptografía débil.
Registro de eventos |
Sistema |
Tipos de eventos |
Error |
Origen del evento |
NETLOGON |
Id. de evento |
5841 |
Texto del evento |
El servicio Netlogon denegó un cliente mediante RC4 debido a la configuración "RejectMd5Clients". |
Si encuentra el evento 5841, se trata de un signo de que el valor RejectMD5Clients está establecido en VERDADERO .
rejectMD5Clients del modelo de datos abstracto.
La clave RejectMD5Clients es una clave preexistente en el servicio Netlogon. Para obtener más información, vea la descripciónPreguntas más frecuentes (P+F)
Todas las cuentas de equipo unidas a un dominio se ven afectadas por este CVE. Los eventos mostrarán quiénes son los más afectados por este problema después de que se instalen las actualizaciones de Windows del 8 de noviembre de 2022 o posteriores, revise la sección de errores del registro de eventos para solucionar los problemas.
Para ayudar a detectar clientes más antiguos que no usan la criptografía más segura disponible, esta actualización presenta registros de eventos para los clientes que usan RC4.
La firma RPC es cuando el protocolo Netlogon usa RPC para firmar los mensajes que envía a través de la conexión. El sellado RPC se produce cuando el protocolo Netlogon firma y cifra los mensajes que envía a través de la conexión.
El controlador de dominio de Windows determina si un cliente de Netlogon ejecuta Windows consultando el atributo "OperatingSystem" de Active Directory para el cliente de Netlogon y comprobando las cadenas siguientes:
-
"Windows", "Servidor Hyper-V" y "Azure Stack HCI"
No recomendamos ni admitimos que los clientes o administradores de dominio de Netlogon cambien este atributo a un valor que no represente el sistema operativo (SO) que ejecuta el cliente de Netlogon. Debe tener en cuenta que podemos cambiar los criterios de búsqueda en cualquier momento. Vea Cambio 3.
La fase de aplicación no rechaza los clientes Netlogon en función del tipo de cifrado que usan los clientes. Solo rechazará los clientes Netlogon si realizan la firma RPC en lugar del sellado RPC. La denegación de clientes Netlogon RC4 se basa en la clave del registro "RejectMd5Clients" disponible para los controladores de dominio Windows de Windows Server 2008 R2 y posteriores. La fase de aplicación de esta actualización no cambia el valor "RejectMd5Clients". Recomendamos que los clientes habiliten el valor "RejectMd5Clients" para mayor seguridad en sus dominios. Vea Cambio 3.
Glosario
Estándar de cifrado avanzado (AES) es un cifrado de bloques que reemplaza al Estándar de cifrado de datos (DES). AES se puede usar para proteger los datos electrónicos. El algoritmo AES se puede usar para cifrar (cifrar) y descifrar (descifrar) la información. El cifrado convierte los datos en una forma ininteligible denominada texto cifrado; descifrar el texto cifrado convierte los datos en su forma original, denominada texto sin formato. AES se usa en criptografía de clave simétrica, lo que significa que se usa la misma clave para las operaciones de cifrado y descifrado. También es un cifrado de bloques, lo que significa que funciona en bloques de tamaño fijo de texto no cifrado y texto cifrado, y requiere que el tamaño del texto no cifrado, así como el texto cifrado sea un múltiplo exacto de este tamaño de bloque. AES también se conoce como el algoritmo de cifrado de clave secreta Rijndael[FIPS197].
En un entorno de seguridad de red compatible con el sistema operativo Windows NT, el componente responsable de las funciones de sincronización y mantenimiento entre un controlador de dominio principal (PDC) y controladores de dominio de copia de seguridad (BDC). Netlogon es un precursor del protocolo del servidor de replicación de directorios (DRS). La interfaz de llamada a procedimiento remoto (RPC) del protocolo remoto Netlogon se usa principalmente para mantener la relación entre un dispositivo y su dominio y las relaciones entre los controladores de dominio (DC) y los dominios. Para obtener más información, consulte el Protocolo remoto Netlogon.
RC4-HMAC (RC4) es un algoritmo de cifrado simétrico de longitud variable de clave. Para obtener más información, consulte la sección 17.1 [SCHNEIER].
Una conexión de llamada a procedimiento remoto (RPC) autenticada entre dos máquinas de un dominio con un contexto de seguridad establecido que se utiliza para firmar y cifrar los paquetes RPC.