ACTUALISÉ 20 mars 2023 - Section Disponibilité
Résumé
Le protocole distant DCOM (Distributed Component Object Model) est un protocole permettant d’exposer des objets d’application à l’aide d’appels de procédure distante (RPC). DCOM est utilisé pour la communication entre les composants logiciels des appareils en réseau. Des modifications de renforcement de DCOM étaient requises pour CVE-2021-26414. Par conséquent, nous vous recommandons de vérifier si les applications clientes ou serveurs de votre environnement qui utilisent DCOM ou RPC fonctionnent comme prévu avec les modifications de renforcement activées.
Remarque Nous vous recommandons vivement d’installer la dernière mise à jour de sécurité disponible. Ils fournissent des protections avancées contre les menaces de sécurité les plus récentes. Ils fournissent également des fonctionnalités que nous avons ajoutées pour prendre en charge la migration. Pour plus d’informations et pour connaître le contexte sur la façon dont nous durcissons DCOM, consultez Renforcement de l’authentification DCOM : ce que vous devez savoir.
La première phase des mises à jour DCOM a été publiée le 8 juin 2021. Dans cette mise à jour, le renforcement DCOM a été désactivé par défaut. Vous pouvez les activer en modifiant le Registre comme décrit dans la section « Paramètre du Registre pour activer ou désactiver les modifications de renforcement » ci-dessous. La deuxième phase des mises à jour DCOM a été publiée le 14 juin 2022. Cela a modifié le renforcement sur activé par défaut, mais a conservé la possibilité de désactiver les modifications à l’aide des paramètres de clé de Registre. La phase finale des mises à jour DCOM sera publiée en mars 2023. Cela permet de maintenir le renforcement DCOM activé et de supprimer la possibilité de le désactiver.
Chronologie
Mise à jour |
Changement de comportement |
8 juin 2021 |
Version de phase 1 : les modifications de renforcement sont désactivées par défaut, mais avec la possibilité de les activer à l’aide d’une clé de Registre. |
14 juin 2022 |
Version de phase 2 : les modifications de renforcement sont activées par défaut, mais avec la possibilité de les désactiver à l’aide d’une clé de Registre. |
14 mars 2023 |
Version de phase 3 : les modifications de renforcement sont activées par défaut sans possibilité de les désactiver. À ce stade, vous devez résoudre les problèmes de compatibilité liés aux modifications de renforcement et aux applications de votre environnement. |
Test de la compatibilité du renforcement DCOM
Nouveaux événements d’erreur DCOM
Pour vous aider à identifier les applications susceptibles de rencontrer des problèmes de compatibilité après l’activation des modifications de renforcement de la sécurité DCOM, nous avons ajouté de nouveaux événements d’erreur DCOM dans le journal système. Consultez les tableaux ci-dessous. Le système journalise ces événements s’il détecte qu’une application cliente DCOM tente d’activer un serveur DCOM à l’aide d’un niveau d’authentification inférieur à RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Vous pouvez effectuer le suivi vers l’appareil client à partir du journal des événements côté serveur et utiliser les journaux des événements côté client pour rechercher l’application.
Événements du serveur - Indiquer que le serveur reçoit des demandes de niveau inférieur
ID d’événement |
Message |
---|---|
10036 |
« La stratégie de niveau d’authentification côté serveur n’autorise pas l’utilisateur %1\%2 SID (%3) de l’adresse %4 à activer le serveur DCOM. Augmentez le niveau d’authentification d’activation au moins pour RPC_C_AUTHN_LEVEL_PKT_INTEGRITY dans l’application cliente. » (%1 – domaine, %2 – nom d’utilisateur, %3 – SID utilisateur, %4 – Adresse IP du client) |
Événements client : indiquez l’application qui envoie des requêtes de niveau inférieur
ID d’événement |
Message |
---|---|
10037 |
« L’application %1 avec PID %2 demande d’activer le CLSID %3 sur l’ordinateur %4 avec un niveau d’authentification défini explicitement sur %5. Le niveau d’authentification d’activation le plus bas requis par DCOM est 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Pour augmenter le niveau d’authentification d’activation, contactez le fournisseur de l’application. » |
10038 |
« L’application %1 avec PID %2 demande d’activer le CLSID %3 sur l’ordinateur %4 avec le niveau d’authentification d’activation par défaut à %5. Le niveau d’authentification d’activation le plus bas requis par DCOM est 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Pour augmenter le niveau d’authentification d’activation, contactez le fournisseur de l’application. » (%1 – Chemin d’accès de l’application, %2 – PID d’application, %3 – CLSID de la classe COM que l’application demande à activer, %4 – Nom de l’ordinateur, %5 – Valeur du niveau d’authentification) |
Disponibilité
Ces événements d’erreur ne sont disponibles que pour un sous-ensemble de versions de Windows ; consultez le tableau ci-dessous.
Version de Windows |
Disponible à ces dates ou après cette date |
---|---|
Windows Server 2022 |
27 septembre 2021 |
Windows 10, version 2004, Windows 10, version 20H2, Windows 10, version 21H1 |
1er septembre 2021 |
Windows 10, version 1909 |
26 août 2021 |
Windows Server 2019, Windows 10, version 1809 |
26 août 2021 |
Windows Server 2016, Windows 10, version 1607 |
14 septembre 2021 |
Windows Server 2012 R2 et Windows 8.1 |
12 octobre 2021 |
Windows 11, version 22H2 |
30 septembre 2022 |
Correctif d’élévation automatique de demande côté client
Niveau d’authentification pour toutes les demandes d’activation non anonymes
Pour réduire les problèmes de compatibilité des applications, nous avons automatiquement augmenté le niveau d’authentification pour toutes les demandes d’activation non anonymes des clients DCOM Windows pour RPC_C_AUTHN_LEVEL_PKT_INTEGRITY au minimum. Avec cette modification, la plupart des demandes de client DCOM windows sont automatiquement acceptées avec les modifications de renforcement DCOM activées côté serveur sans aucune autre modification du client DCOM. En outre, la plupart des clients DCOM Windows fonctionnent automatiquement avec les modifications de renforcement DCOM côté serveur sans aucune autre modification du client DCOM.
Remarque Ce correctif continuera d’être inclus dans les mises à jour cumulatives.
Chronologie des mises à jour des correctifs
Depuis la version initiale en novembre 2022, le correctif d’élévation de privilèges automatiques a été mis à jour.
-
Mise à jour de novembre 2022
-
Cette mise à jour a automatiquement déclenché le niveau d’authentification d’activation pour l’intégrité des paquets. Cette modification a été désactivée par défaut sur Windows Server 2016 et Windows Server 2019.
-
-
Mise à jour de décembre 2022
-
La modification de novembre a été activée par défaut pour Windows Server 2016 et Windows Server 2019.
-
Cette mise à jour a également résolu un problème qui affectait l’activation anonyme sur Windows Server 2016 et Windows Server 2019.
-
-
Mise à jour de janvier 2023
-
Cette mise à jour a résolu un problème qui affectait l’activation anonyme sur les plateformes de Windows Server 2008 vers Windows 10 (version initiale publiée en juillet 2015).
-
Si vous avez installé les mises à jour de sécurité cumulatives depuis janvier 2023 sur vos clients et serveurs, le dernier correctif d’élévation de privilèges automatiques est entièrement activé.
Paramètre de Registre pour activer ou désactiver les modifications de renforcement
Pendant les phases de chronologie dans lesquelles vous pouvez activer ou désactiver les modifications de renforcement pour CVE-2021-26414, vous pouvez utiliser la clé de Registre suivante :
-
Chemin d’accès : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Nom de la valeur : « RequireIntegrityActivationAuthenticationLevel »
-
Type : dword
-
Données de valeur : default= 0x00000000 signifie désactivé. 0x00000001 signifie activé. Si cette valeur n’est pas définie, elle est activée par défaut.
RemarqueVous devez entrer données de valeur au format hexadécimal.
Important Vous devez redémarrer votre appareil après avoir défini cette clé de Registre pour qu’elle prenne effet.
Remarque L’activation de la clé de Registre ci-dessus permet aux serveurs DCOM d’appliquer une Authentication-Level de RPC_C_AUTHN_LEVEL_PKT_INTEGRITY ou supérieure pour l’activation. Cela n’affecte pas l’activation anonyme (activation à l’aide du niveau d’authentification RPC_C_AUTHN_LEVEL_NONE). Si le serveur DCOM autorise l’activation anonyme, il est toujours autorisé, même si les modifications de renforcement DCOM sont activées.
Remarque Cette valeur de Registre n’existe pas par défaut ; vous devez le créer. Windows le lit s’il existe et ne le remplace pas.
Remarque L’installation des mises à jour ultérieures ne modifie ni ne supprime les entrées et paramètres de Registre existants.