Importante Determinadas versões do Microsoft Windows chegaram ao fim do suporte. Observe que algumas versões do Windows podem ter suporte após a data de término do sistema operacional mais recente, quando as atualizações de segurança estendidas (ESUs) estiverem disponíveis. Confira Perguntas frequentes sobre o ciclo de vida - Atualizações de segurança estendidas para ver uma lista de produtos que oferecem ESUs.
Data da alteração |
Alterar descrição |
01º de agosto de 2024 |
|
5 de agosto de 2024 |
|
6 de agosto de 2024 |
|
Conteúdo
Resumo
As atualizações do Windows datadas de 9 de julho de 2024 ou posteriores abordam uma vulnerabilidade de segurança no protocolo RADIUS (Remote Authentication Dial-In User Service) relacionada a problemas de colisão MD5. Devido às fracas verificações de integridade no MD5, um invasor pode adulterar os pacotes para obter acesso não autorizado. A vulnerabilidade do MD5 faz o UDP (User Datagram Protocol) baseado no tráfego RADIUS pela Internet não segura contra falsificação ou modificação de pacotes durante o trânsito.
Para obter mais informações sobre essa vulnerabilidade, confira CVE-2024-3596 e o white paper RADIUS E ATAQUES DE COLISÃO MD5.
OBSERVAÇÃO Essa vulnerabilidade requer acesso físico à rede RADIUS e ao Servidor de Políticas de Rede (NPS). Portanto, os clientes que têm redes RADIUS protegidas não estão vulneráveis. Além disso, a vulnerabilidade não se aplica quando a comunicação RADIUS ocorre por meio de VPN.
Tome medidas
Para ajudar a proteger seu ambiente, recomendamos habilitar as seguintes configurações. Para obter mais informações, confira a seção Configurações.
|
Eventos adicionados por essa atualização
Para obter mais informações, confira a seção Configurações.
Observação Essas IDs de evento são adicionadas ao servidor NPS pelas atualizações do Windows datadas de 9 de julho de 2024 ou após.
O pacote Access-Request foi descartado porque continha o atributo Proxy-State, mas não tinha o atributo Message-Authenticator. Considere alterar o cliente RADIUS para incluir o atributo Message-Authenticator. Ou, como alternativa, adicione uma exceção para o cliente RADIUS usando a configuração limitProxyState.
Log de eventos |
Sistema |
Tipo de evento |
Erro |
Origem do evento |
Servidor |
ID de Evento |
4418 |
Texto do evento |
Uma mensagem de Access-Request foi recebida do cliente RADIUS <ip/name> contendo um atributo Proxy-State, mas sem um atributo Message-Authenticator. Como resultado, a solicitação foi descartada. O atributo Message-Authenticator é obrigatório para fins de segurança. Confira https://support.microsoft.com/help/5040268 para saber mais. |
Esse é um evento de auditoria para pacotes Access-Request sem o atributo Message-Authenticator na presença de Proxy-State. Considere alterar o cliente RADIUS para incluir o atributo Message-Authenticator. O pacote RADIUS será removido depois que a configuração limitproxystate estiver habilitada.
Log de eventos |
Sistema |
Tipo de evento |
Aviso |
Origem do evento |
Servidor |
ID de Evento |
4419 |
Texto do evento |
Uma mensagem de Access-Request foi recebida do cliente RADIUS <ip/name> contendo um atributo Proxy-State, mas sem um atributo Message-Authenticator. A solicitação é permitida no momento, pois o limitProxyState está configurado no modo Auditoria. Confira https://support.microsoft.com/help/5040268 para saber mais. |
Esse é um evento de Auditoria para pacotes de resposta RADIUS recebidos sem o atributo Message-Authenticator no proxy. Considere alterar o servidor RADIUS especificado para o atributo Message-Authenticator. O pacote RADIUS será removido depois que a configuração requiremsgauth estiver habilitada.
Log de eventos |
Sistema |
Tipo de evento |
Aviso |
Origem do evento |
Servidor |
ID de Evento |
4420 |
Texto do evento |
O Proxy RADIUS recebeu uma resposta do servidor <ip/name> com um atributo de Message-Authenticator ausente. Atualmente, a resposta é permitida, pois o requireMsgAuth está configurado no modo Auditoria. Confira https://support.microsoft.com/help/5040268 para saber mais. |
Esse evento é registrado durante o início do serviço quando as configurações recomendadas não estão definidas. Considere habilitar as configurações se a rede RADIUS não for segura. Para redes seguras, esses eventos podem ser ignorados.
Log de eventos |
Sistema |
Tipo de evento |
Aviso |
Origem do evento |
Servidor |
ID de Evento |
4421 |
Texto do evento |
A configuração de RequireMsgAuth e/ou limitProxyState está no modo <Disable/Audit>. Essas configurações devem ser definidas no modo Habilitar para fins de segurança. Confira https://support.microsoft.com/help/5040268 para saber mais. |
Configurações
Essa configuração permite que o Proxy NPS comece a enviar o atributo Message-Authenticator em todos os pacotes Access-Request. Para habilitar essa configuração, use um dos métodos a seguir.
Método 1: usar o Console de Gerenciamento Microsoft (MMC) do NPS
Para usar o MMC do NPS, siga estas etapas:
-
Abra a interface do usuário do NPS no servidor.
-
Abra os Grupos de Servidores Radius remotos.
-
Selecione Servidor Radius.
-
Vá para Autenticação/Contabilidade.
-
Clique para marcar a caixa de seleção A solicitação deve conter o atributo Message-Authenticator.
Método 2: usar o comando netsh
Para usar netsh, execute o seguinte comando:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Para obter mais informações, confira Comandos de grupo do servidor RADIUS remoto.
Essa configuração requer o atributo Message-Authenticator em todas as mensagens Access-Request e remove o pacote se ele estiver ausente.
Método 1: usar o Console de Gerenciamento Microsoft (MMC) do NPS
Para usar o MMC do NPS, siga estas etapas:
-
Abra a interface do usuário do NPS no servidor.
-
Abra Clientes Radius.
-
Selecione Cliente Radius.
-
Vá para Configurações Avançadas.
-
Clique para marcar a caixa de seleção As mensagens de Access-Request devem conter o atributo Message-Authenticator.
Para obter mais informações, confira Configurar clientes RADIUS.
Método 2: usar o comando netsh
Para usar netsh, execute o seguinte comando:
netsh nps set client name = <client name> requireauthattrib = yes
Para obter mais informações, confira Comandos de grupo do servidor RADIUS remoto.
Essa configuração permite que o servidor NPS descarte pacotes Access-Request potencialmente vulneráveis que contenham um atributo Proxy-State, mas não incluam um atributo Message-Authenticator. Essa configuração dá suporte a três modos:
-
Auditoria
-
Enable
-
Desabilitar
No modo Auditoria, um evento de aviso (ID do evento: 4419) é registrado, mas a solicitação ainda é processada. Use esse modo para identificar as entidades sem conformidade que enviam as solicitações.
Use o comando netsh para configurar, habilitar e adicionar uma exceção conforme necessário.
-
Para configurar clientes no modo Auditoria, execute o seguinte comando:
netsh nps set limitproxystate all = "audit"
-
Para configurar clientes no modo Habilitar, execute o seguinte comando:
netsh nps set limitproxystate all = "enable"
-
Para adicionar uma exceção para excluir um cliente da validação limitProxystate, execute o seguinte comando:
netsh nps set limitproxystate name = <client name> exception = "Yes"
Essa configuração permite que o Proxy NPS descarte mensagens de resposta potencialmente vulneráveis sem o atributo Message-Authenticator. Essa configuração dá suporte a três modos:
-
Auditoria
-
Enable
-
Desabilitar
No modo Auditoria, um evento de aviso (ID do evento: 4420) é registrado em log, mas a solicitação ainda é processada. Use esse modo para identificar as entidades sem conformidade que enviam as respostas.
Use o comando netsh para configurar, habilitar e adicionar uma exceção conforme necessário.
-
Para configurar servidores no modo Auditoria, execute o seguinte comando:
netsh nps set requiremsgauth all = "audit"
-
Para habilitar as configurações para todos os servidores, execute o seguinte comando:
netsh nps definir requisitos gauth todos = "enable"
-
Para adicionar uma exceção para excluir um servidor da validação requireauthmsg, execute o seguinte comando:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
Perguntas frequentes
Verifique os eventos do módulo NPS para ver eventos relacionados. Considere adicionar exceções ou ajustes de configuração para clientes/servidores afetados.
Não, as configurações discutidas neste artigo são recomendadas para redes não seguras.
Referências
Descrição da terminologia padrão usada para descrever atualizações de software da Microsoft
Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. Não oferecemos nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.
Fornecemos informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. Não garantimos a precisão dessas informações para contato com outras empresas.