ATUALIZAÇÃO 20 de março de 2023 - Secção disponibilidade
Resumo
O Protocolo Remoto DCOM (Distributed Component Object Model) é um protocolo para expor objetos de aplicação através de chamadas de procedimento remoto (RPCs). O DCOM é utilizado para a comunicação entre os componentes de software de dispositivos em rede. As alterações de proteção no DCOM eram necessárias para CVE-2021-26414. Por conseguinte, recomendamos que verifique se as aplicações cliente ou servidor no seu ambiente que utilizam DCOM ou RPC funcionam conforme esperado com as alterações de proteção ativadas.
Nota Recomendamos vivamente que instale a atualização de segurança mais recente disponível. Fornecem proteções avançadas contra as ameaças de segurança mais recentes. Também fornecem capacidades que adicionámos para suportar a migração. Para obter mais informações e contexto sobre como estamos a proteger o DCOM, veja Proteção da autenticação DCOM: o que precisa de saber.
A primeira fase das atualizações do DCOM foi lançada a 8 de junho de 2021. Nessa atualização, a proteção do DCOM foi desativada por predefinição. Pode ativá-los ao modificar o registo conforme descrito na secção "Definição do registo para ativar ou desativar as alterações de proteção" abaixo. A segunda fase das atualizações do DCOM foi lançada a 14 de junho de 2022. Isso alterou a proteção para ativada por predefinição, mas manteve a capacidade de desativar as alterações através das definições da chave de registo. A fase final das atualizações do DCOM será lançada em março de 2023. Manterá a proteção do DCOM ativada e removerá a capacidade de a desativar.
Linha cronológica
Versão de atualização |
Alteração de comportamento |
8 de junho de 2021 |
Lançamento da Fase 1 – a proteção de alterações está desativada por predefinição, mas com a capacidade de as ativar através de uma chave de registo. |
14 de junho de 2022 |
Lançamento da Fase 2 – Proteção de alterações ativada por predefinição, mas com a capacidade de as desativar através de uma chave de registo. |
14 de março de 2023 |
Lançamento da Fase 3 – a proteção de alterações ativada por predefinição sem capacidade de as desativar. Por esta altura, tem de resolver quaisquer problemas de compatibilidade com as alterações e aplicações de proteção no seu ambiente. |
Testar a compatibilidade de proteção do DCOM
Novos Eventos de Erro do DCOM
Para o ajudar a identificar as aplicações que podem ter problemas de compatibilidade depois de ativarmos as alterações de proteção de segurança do DCOM, adicionámos novos eventos de erro do DCOM no registo do Sistema. Veja as tabelas abaixo. O sistema irá registar estes eventos se detetar que uma aplicação cliente DCOM está a tentar ativar um servidor DCOM com um nível de autenticação inferior a RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Pode rastrear o dispositivo cliente a partir do registo de eventos do lado do servidor e utilizar os registos de eventos do lado do cliente para localizar a aplicação.
Eventos do Servidor - Indicar que o servidor está a receber pedidos de nível inferior
ID de Evento |
Mensagem |
---|---|
10036 |
"A política de nível de autenticação do lado do servidor não permite que o utilizador %1\%2 SID (%3) do endereço %4 ative o servidor DCOM. Aumente o nível de autenticação de ativação, pelo menos, para RPC_C_AUTHN_LEVEL_PKT_INTEGRITY na aplicação cliente". (%1 – domínio, %2 – nome de utilizador, %3 – SID de Utilizador, %4 – Endereço IP do Cliente) |
Eventos do Cliente – Indicar que aplicação está a enviar pedidos de nível inferior
ID de Evento |
Mensagem |
---|---|
10037 |
"A aplicação %1 com PID %2 está a pedir para ativar o CLSID %3 no computador %4 com o nível de autenticação definido explicitamente como %5. O nível de autenticação de ativação mais baixo exigido pelo DCOM é 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Para aumentar o nível de autenticação de ativação, contacte o fornecedor da aplicação." |
10038 |
"A aplicação %1 com PID %2 está a pedir para ativar o CLSID %3 no computador %4 com o nível de autenticação de ativação predefinido em %5. O nível de autenticação de ativação mais baixo exigido pelo DCOM é 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Para aumentar o nível de autenticação de ativação, contacte o fornecedor da aplicação." (%1 – Caminho da Aplicação, %2 – PID da Aplicação, %3 – CLSID da classe COM que a aplicação está a pedir para ativar, %4 – Nome do Computador, %5 – Valor do Nível de Autenticação) |
Disponibilidade
Estes eventos de erro só estão disponíveis para um subconjunto de versões do Windows; consulte a tabela abaixo.
Versão do Windows |
Disponível em ou depois destas datas |
---|---|
Windows Server 2022 |
27 de setembro de 2021 |
Windows 10, versão 2004, Windows 10, versão 20H2, Windows 10, versão 21H1 |
1 de setembro de 2021 |
Windows 10, versão 1909 |
26 de agosto de 2021 |
Windows Server 2019, Windows 10, versão 1809 |
26 de agosto de 2021 |
Windows Server 2016, Windows 10, versão 1607 |
14 de setembro de 2021 |
Windows Server 2012 R2 e Windows 8.1 |
12 de outubro de 2021 |
Windows 11, versão 22H2 |
30 de setembro de 2022 |
Patch de elevação automática do pedido do lado do cliente
Nível de autenticação para todos os pedidos de ativação não anónimos
Para ajudar a reduzir os problemas de compatibilidade de aplicações, elevou automaticamente o nível de autenticação para todos os pedidos de ativação não anónimos de clientes DCOM baseados no Windows para RPC_C_AUTHN_LEVEL_PKT_INTEGRITY no mínimo. Com esta alteração, a maioria dos pedidos de cliente DCOM baseados no Windows serão automaticamente aceites com as alterações de proteção do DCOM ativadas no lado do servidor sem qualquer modificação adicional no cliente DCOM. Além disso, a maioria dos clientes DCOM do Windows trabalhará automaticamente com alterações de proteção do DCOM no lado do servidor sem qualquer modificação adicional no cliente DCOM.
Nota Este patch continuará a ser incluído nas atualizações cumulativas.
Linha cronológica da atualização de patches
Desde o lançamento inicial, em novembro de 2022, o patch de elevação automática teve algumas atualizações.
-
Atualização de novembro de 2022
-
Esta atualização elevou automaticamente o nível de autenticação de ativação para a integridade dos pacotes. Esta alteração foi desativada por predefinição no Windows Server 2016 e no Windows Server 2019.
-
-
Atualização de dezembro de 2022
-
A alteração de novembro foi ativada por predefinição para o Windows Server 2016 e o Windows Server 2019.
-
Esta atualização também abordou um problema que afetou a ativação anónima no Windows Server 2016 e no Windows Server 2019.
-
-
Atualização de janeiro de 2023
-
Esta atualização resolveu um problema que afetou a ativação anónima em plataformas do Windows Server 2008 para o Windows 10 (versão inicial disponibilizada em julho de 2015).
-
Se tiver instalado as atualizações de segurança cumulativas a partir de janeiro de 2023 nos seus clientes e servidores, estas terão o patch de elevação automática mais recente totalmente ativado.
Definição de registo para ativar ou desativar as alterações de proteção
Durante as fases da linha cronológica em que pode ativar ou desativar as alterações de proteção para CVE-2021-26414, pode utilizar a seguinte chave de registo:
-
Caminho: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Nome do Valor: "RequireIntegrityActivationAuthenticationLevel"
-
Tipo: dword
-
Dados do Valor: default= 0x00000000 significa desativado. 0x00000001 significa ativado. Se este valor não estiver definido, a predefinição será ativada.
Nota Tem de introduzir Dados do Valor no formato hexadecimal.
Importante Tem de reiniciar o dispositivo depois de definir esta chave de registo para que este entre em vigor.
Nota Ativar a chave de registo acima fará com que os servidores DCOM imponham uma Authentication-Level de RPC_C_AUTHN_LEVEL_PKT_INTEGRITY ou superior para ativação. Isto não afeta a ativação anónima (ativação com o nível de autenticação RPC_C_AUTHN_LEVEL_NONE). Se o servidor DCOM permitir a ativação anónima, continuará a ser permitido mesmo com as alterações de proteção do DCOM ativadas.
Nota Este valor de registo não existe por predefinição; tem de criá-la. O Windows irá lê-lo se existir e não irá substituí-lo.
Nota A instalação de atualizações posteriores não irá alterar nem remover as entradas e definições do registo existentes.