Resumo

As atualizações de 13 de julho de 2021 do Windows e atualizações posteriores do Windows adicionam proteções para CVE-2021-33757.

Depois de instalar as atualizações de 13 de julho de 2021 do Windows ou atualizações posteriores do Windows, a criptografia AES será o método preferencial em clientes Windows ao ser usado o protocolo MS-SAMR herdado para operações de senha se a criptografia AES tiver suporte no servidor SAM. Se a criptografia AES não tiver suporte no servidor SAM, o fallback para a criptografia RC4 herdada será permitido.

As alterações na CVE-20201-33757 são específicas do protocolo MS-SAMR e são independentes de outros protocolos de autenticação. MS-SAMR usa SMB sobre RPC e pipes nomeados. Embora o SMB também dê suporte a criptografia, ele não é habilitado por padrão. Por padrão, as alterações na CVE-20201-33757 são habilitadas e fornecem segurança adicional na camada SAM. Nenhuma alteração adicional de configuração é necessária além da instalação de proteções para a CVE-20201-33757 incluídas nas atualizações do Windows de 13 de julho de 2021 ou atualizações posteriores do Windows em todas as versões com suporte do Windows. As versões sem suporte do Windows devem ser descontinuadas ou atualizadas para uma versão com suporte.

Observação A CVE-2021-33757 modifica apenas como as senhas são criptografadas em trânsito ao serem usadas APIs específicas do protocolo MS-SAMR e especificamente NÃO modifica como as senhas são armazenadas em repouso. Para obter mais informações sobre como as senhas são criptografadas em repouso no Active Directory e localmente no Banco de Dados SAM (Registro), consulte Visão geral das senhas.

Mais informações 

O método SamrConnect5 existente é geralmente usado para estabelecer uma conexão entre o cliente SAM e o servidor.

Um servidor atualizado agora retornará um novo bit na resposta SamrConnect5(), conforme definido em SAMPR_REVISION_INFO_V1

Valor

Significado

0x00000010

Ao ser recebido pelo cliente, esse valor, quando definido, indica que o cliente deve usar a Criptografia AES com a estrutura SAMPR_ENCRYPTED_PASSWORD_AES para criptografar buffers de senha quando enviados. Consulte Uso de Codificação do AES (seção 3.2.2.4) e SAMPR_ENCRYPTED_PASSWORD_AES (seção 2.2.6.32).

Se o servidor atualizado der suporte a AES, o cliente usará novos métodos e novas classes de informações para operações de senha. Se o servidor não retornar esse sinalizador ou se o cliente não for atualizado, o cliente retornará ao uso de métodos anteriores com criptografia RC4.

As operações de Definição de Senhas exigem um controlador de domínio gravável (RWDC). As alterações de senha são encaminhadas pelo RODC (Controlador de Domínio Somente Leitura) para um RWDC. Todos os dispositivos devem ser atualizados para que o AES seja usado. Por exemplo:

  • Se o cliente, RODC ou RWDC não for atualizado, a criptografia RC4 será usada.

  • Se o cliente, RODC e RWDC forem atualizados, a criptografia AES será usada.

As atualizações de 13 de julho de 2021 adicionam quatro novos eventos ao log do sistema para ajudar a identificar dispositivos que não estão atualizados e ajudam a melhorar a segurança.

  • A ID de Evento de estado de configuração 16982 ou 16983 é registrada em log na inicialização ou ao ocorrer uma alteração de configuração do Registro.ID de Evento 16982

    Log de eventos

    Sistema

    Origem do evento

    Directory-Services-SAM

    ID de Evento

    16982

    Nível

    Informações

    Texto da mensagem do evento

    O gerenciador de conta de segurança agora está registrando em log eventos detalhados para clientes remotos que chamam uma alteração de senha herdada ou definem métodos RPC. Essa configuração pode causar um grande número de mensagens e deve ser usada apenas por um curto período para diagnosticar problemas.

    ID de Evento 16983

    Log de eventos

    Sistema

    Origem do evento

    Directory-Services-SAM

    ID de Evento

    16983

    Nível

    Informações

    Texto da mensagem do evento

    O gerenciador de conta de segurança está registrando em log eventos de resumo periódicos para clientes remotos que chamam uma alteração de senha herdada ou definem métodos RPC.

  • Depois da aplicação da atualização de 13 de julho de 2021, um Evento de Resumo 16984 é registrado no log de eventos do Sistema a cada 60 minutos.ID de Evento 16984

    Log de eventos

    Sistema

    Origem do evento

    Directory-Services-SAM

    ID de Evento

    16984

    Nível

    Informações

    Texto da mensagem do evento

    O gerenciador de conta de segurança detectou a alteração de senha %x herdada ou definiu chamadas de método RPC nos últimos 60 minutos.

  • Depois de configurar o log de eventos detalhado, a ID de Evento 16985 é registrada no log de eventos do Sistema sempre que um método RPC herdado é usado para alterar ou definir uma senha de conta.ID de Evento 16985

    Log de eventos

    Sistema

    Origem do evento

    Directory-Services-SAM

    ID de Evento

    16985

    Nível

    Informações

    Texto da mensagem do evento

    O gerenciador de conta de segurança detectou o uso de uma alteração herdada ou definiu o método RPC de um cliente de rede. Considere atualizar o sistema operacional cliente ou o aplicativo para usar a versão mais recente e mais segura desse método.

    Detalhes:

    Método RPC: %1

    Endereço de Rede do Cliente: %2

    SID do cliente: %3

    Nome de usuário: %4 

    Para registrar a ID de Evento detalhada 16985, alterne o valor do Registro a seguir no servidor ou controlador de domínio.

    Caminho

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM

    Tipo

    REG_DWORD

    Nome do valor

    AuditLegacyPasswordRpcMethods

    Dados do valor

     1 = o log detalhado está habilitado

     0 ou não presente = o log detalhado está desabilitado. Somente eventos de resumo. (Padrão)

Conforme descrito em SamrUnicodeChangePasswordUser4 (Opnum 73), quando você usar o novo método SamrUnicodeChangePasswordUser4, o cliente e o servidor usarão o Algoritmo PBKDF2 para derivar uma chave de criptografia e descriptografia da senha antiga de texto sem formatação. Isso ocorre porque a senha antiga é o único segredo comum conhecido pelo servidor e pelo cliente.  

Para obter mais informações sobre PBKDF2, consulte a função BCryptDeriveKeyPBKDF2 (bcrypt.h).

Se tiver que fazer uma alteração por motivos de desempenho e segurança, você poderá ajustar o número de iterações PBKDF2 usadas pelo cliente para alteração de senha definindo o valor de Registro a seguir no cliente.

Observação: Diminuir o número de iterações PBKDF2 diminuirá a segurança.  Não recomendamos que o número seja reduzido do padrão. No entanto, recomendamos que você use o maior número possível de iterações PBKDF2.

Caminho 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SAM  

Tipo 

REG_DWORD 

Nome do valor 

PBKDF2Iterations 

Dados do valor 

Mínimo de 5.000 até um máximo de 1.000.000

Valor padrão 

10.000  

Observação: PBKDF2 não é usado para operações de definição de senhas. Para operações de definição de senhas, a chave de sessão SMB é o segredo compartilhado entre cliente e servidor e é usada como base para derivar chaves de criptografia. 

Para obter mais informações, consulte Adquirir uma chave de sessão SMB.

Perguntas frequentes

O downgrade acontece quando o servidor ou o cliente não dá suporte a AES.   

Servidores atualizados registrarão eventos em log quando métodos herdados com RC4 forem usados. 

No momento, não há nenhum modo de imposição disponível, mas poderá haver no futuro. Não temos uma data. 

Se um dispositivo de terceiros não estiver usando o protocolo SAMR, isso não será importante. Fornecedores de terceiros que implementam o protocolo MS-SAMR podem optar por implementá-lo. Entre em contato com o fornecedor de terceiros se tiver qualquer dúvida. 

Nenhuma alteração adicional é necessária.  

Esse protocolo é herdado e prevemos que seu uso seja muito baixo. Aplicativos herdados podem usar essas APIs. Além disso, algumas ferramentas do Active Directory, como Usuários do AD e Computadores MMC, usam SAMR.

Não. Somente as alterações de senha que usam essas APIs SAMR específicas são afetadas.

Sim. PBKDF2 é mais caro do que RC4. Se houver muitas alterações de senha ocorrendo ao mesmo tempo no controlador de domínio chamando a API SamrUnicodeChangePasswordUser4, a carga da CPU do LSASS poderá ser afetada. Você poderá ajustar as iterações PBKDF2 em clientes se for necessário. No entanto, não recomendamos diminuir o padrão, pois isso diminuiria a segurança.  

Referências

Criptografia Autenticada com AES-CBC e HMAC-SHA

Uso de Criptografia AES

Aviso de isenção de responsabilidade para informações de terceiros

Fornecemos informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. Não garantimos a precisão dessas informações para contato com outras empresas.

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.