เปลี่ยนล็อก
เปลี่ยนแปลง 1: 5 เมษายน 2023: ย้ายระยะ "การบังคับใช้ตามค่าเริ่มต้น" ของรีจิสทรีคีย์จากวันที่ 11 เมษายน 2023 เป็น 13 มิถุนายน 2023 ในส่วน "การกําหนดเวลาการอัปเดตเพื่อจัดการ CVE-2022-38023" เปลี่ยนแปลง 2: 20 เมษายน 2023: เอาการอ้างอิงที่ไม่ถูกต้องไปยัง "ตัวควบคุมโดเมน: อนุญาตการเชื่อมต่อแชนเนลที่ปลอดภัย Netlogon ที่มีช่องโหว่" วัตถุนโยบายกลุ่ม (GPO) ในส่วน "การตั้งค่ารีจิสทรีคีย์" เปลี่ยนวันที่ 3: 19 มิถุนายน 2023:
|
ในบทความนี้
บทสรุป
การอัปเดตของ Windows วันที่ 8 พฤศจิกายน 2022 และใหม่กว่าระบุจุดอ่อนในโพรโทคอล Netlogon เมื่อใช้การลงชื่อ RPC แทนการปิดผนึก RPC ข้อมูลเพิ่มเติมสามารถพบได้ใน CVE-2022-38023
Netlogon Remote Protocol Remote Procedure Call (RPC) ใช้เพื่อรักษาความสัมพันธ์ระหว่างอุปกรณ์กับ โดเมน และความสัมพันธ์ระหว่าง ตัวควบคุมโดเมน (DC) และโดเมนเป็นหลัก
การอัปเดตนี้ปกป้องอุปกรณ์ Windows จาก CVE-2022-38023 ตามค่าเริ่มต้น สําหรับไคลเอ็นต์ของบริษัทอื่นและตัวควบคุมโดเมนของบริษัทอื่น การอัปเดตจะอยู่ในโหมดความเข้ากันได้ตามค่าเริ่มต้น และอนุญาตการเชื่อมต่อที่มีความเสี่ยงจากไคลเอ็นต์ดังกล่าว โปรดดูส่วน การตั้งค่ารีจิสทรีคีย์ สําหรับขั้นตอนในการย้ายไปยังโหมดการบังคับใช้
เพื่อช่วยรักษาความปลอดภัยให้กับสภาพแวดล้อมของคุณ ให้ติดตั้งการอัปเดต Windows ที่มีวันที่ 8 พฤศจิกายน 2022 หรือการอัปเดต Windows ที่ใหม่กว่าสําหรับอุปกรณ์ทั้งหมด รวมถึงตัวควบคุมโดเมน
สำคัญ ตั้งแต่เดือนมิถุนายน 2023 โหมดการบังคับใช้จะเปิดใช้งานบนตัวควบคุมโดเมน Windows ทั้งหมด และจะบล็อกการเชื่อมต่อที่มีความเสี่ยงจากอุปกรณ์ที่ไม่ตรงตามมาตรฐาน ในเวลานั้น คุณจะไม่สามารถปิดใช้งานการอัปเดตได้ แต่อาจย้อนกลับไปยังการตั้งค่าโหมดความเข้ากันได้ โหมดความเข้ากันได้จะถูกลบออกในเดือนกรกฎาคม 2023 ตามที่ระบุไว้ในส่วน การกําหนดเวลาการอัปเดตเพื่อระบุช่องโหว่ Netlogon CVE-2022-38023
เวลาในการอัปเดตที่อยู่ CVE-2022-38023
Updates จะเผยแพร่ในหลายขั้นตอน: ระยะเริ่มต้นสําหรับการอัปเดตที่เผยแพร่ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้นและระยะเวลาการบังคับใช้สําหรับการอัปเดตที่เผยแพร่ในวันที่ 11 กรกฎาคม 2023 หรือหลังจากนั้น
ขั้นตอนการปรับใช้ครั้งแรกจะเริ่มต้นด้วยการอัปเดตที่เผยแพร่เมื่อวันที่ 8 พฤศจิกายน 2022 และดําเนินการต่อกับการอัปเดต Windows ในภายหลังจนกว่าจะถึงระยะการบังคับใช้ การอัปเดต Windows ในวันที่ 8 พฤศจิกายน 2022 หรือหลังจากนั้นจะแก้ไขช่องโหว่การเลี่ยงผ่านการรักษาความปลอดภัยของ CVE-2022-38023 โดยการบังคับใช้การปิดผนึก RPC ในไคลเอ็นต์ Windows ทั้งหมด
ตามค่าเริ่มต้น อุปกรณ์จะถูกตั้งค่าในโหมดความเข้ากันได้ ตัวควบคุมโดเมนของ Windows จะต้องให้ไคลเอ็นต์ Netlogon ใช้การปิดผนึก RPC หากไคลเอ็นต์เหล่านั้นใช้ Windows หรือทําหน้าที่เป็นตัวควบคุมโดเมนหรือเป็นบัญชีที่เชื่อถือ
การอัปเดต Windows ที่เผยแพร่ในวันที่ 11 เมษายน 2023 หรือหลังจากนั้นจะลบความสามารถในการปิดใช้งานการปิดผนึก RPC โดยการตั้งค่า 0 เป็นซับคีย์รีจิสทรี RequireSeal
ซับคีย์รีจิสทรี RequireSeal จะถูกย้ายไปยังโหมดบังคับใช้ ยกเว้นผู้ดูแลระบบจะกําหนดค่าให้อยู่ภายใต้โหมดความเข้ากันได้อย่างชัดเจน การเชื่อมต่อที่มีช่องโหว่จากไคลเอ็นต์ทั้งหมดรวมถึงบริษัทภายนอกจะถูกปฏิเสธการรับรองความถูกต้อง ดู เปลี่ยน 1
การอัปเดต Windows ที่เผยแพร่เมื่อวันที่ 11 กรกฎาคม 2023 จะลบความสามารถในการตั้งค่า 1 เป็นซับคีย์รีจิสทรี RequireSeal ซึ่งจะเป็นการเปิดใช้งานขั้นตอนการบังคับใช้ของ CVE-2022-38023
การตั้งค่ารีจิสทรีคีย์
หลังจากติดตั้งการอัปเดต Windows ที่ลงวันที่หรือหลังจากวันที่ 8 พฤศจิกายน 2022 คีย์ย่อยของรีจิสทรีต่อไปนี้จะพร้อมใช้งานสําหรับโพรโทคอล Netlogon บนตัวควบคุมโดเมน Windows
สำคัญ การอัปเดตนี้ รวมถึงการเปลี่ยนแปลงการบังคับใช้ในอนาคต อย่าเพิ่มหรือลบคีย์ย่อยรีจิสทรี "RequireSeal" โดยอัตโนมัติ ต้องเพิ่มคีย์ย่อยของรีจิสทรีนี้ด้วยตนเองเพื่อให้สามารถอ่านได้ ดู เปลี่ยน 3
คีย์ย่อย RequireSeal
รีจิสทรีคีย์ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
ค่า |
RequireSeal |
ชนิดข้อมูล |
Reg_dword |
ข้อมูล |
0 – ปิดใช้งาน 1 – โหมดความเข้ากันได้ ตัวควบคุมโดเมนของ Windows จะต้องให้ไคลเอ็นต์ Netlogon ใช้ซีล RPC หากไคลเอ็นต์เหล่านั้นใช้ Windows หรือทําหน้าที่เป็นตัวควบคุมโดเมนหรือบัญชีที่เชื่อถือ 2 - โหมดการบังคับใช้ ลูกค้าทั้งหมดจําเป็นต้องใช้ซีล RPC ดู เปลี่ยน 2 |
จําเป็นต้องเริ่มระบบของคอมพิวเตอร์ใหม่หรือไม่ |
ไม่ใช่ |
เหตุการณ์ของ Windows ที่เกี่ยวข้องกับ CVE-2022-38023
หมาย เหตุ เหตุการณ์ต่อไปนี้มีบัฟเฟอร์ 1 ชั่วโมงซึ่งเหตุการณ์ที่ซ้ํากันที่มีข้อมูลเดียวกันจะถูกละทิ้งระหว่างบัฟเฟอร์นั้น
บันทึกเหตุการณ์ |
ระบบ |
ชนิดเหตุการณ์ |
ข้อผิดพลาด |
แหล่งเหตุการณ์ |
Netlogon |
ID เหตุการณ์ |
5838 |
ข้อความเหตุการณ์ |
บริการ Netlogon พบไคลเอ็นต์ที่ใช้การเซ็นชื่อ RPC แทนการปิดผนึก RPC |
หากคุณพบข้อความแสดงข้อผิดพลาดนี้ในบันทึกเหตุการณ์ของคุณ คุณต้องดําเนินการต่อไปนี้เพื่อแก้ไขข้อผิดพลาดของระบบ:
-
ยืนยันว่าอุปกรณ์กําลังใช้ Windows เวอร์ชันที่ได้รับการสนับสนุน
-
ตรวจสอบให้แน่ใจว่าอุปกรณ์ทั้งหมดมีข้อมูลล่าสุด
-
ตรวจสอบให้แน่ใจว่าสมาชิกโดเมน: สมาชิกโดเมนเข้ารหัสลับแบบดิจิทัลหรือลงชื่อในข้อมูลแชนเนลที่ปลอดภัย (เสมอ) ถูกตั้งค่าเป็น เปิดใช้งาน
บันทึกเหตุการณ์ |
ระบบ |
ชนิดเหตุการณ์ |
ข้อผิดพลาด |
แหล่งเหตุการณ์ |
Netlogon |
ID เหตุการณ์ |
5839 |
ข้อความเหตุการณ์ |
บริการ Netlogon พบความเชื่อถือโดยใช้การเซ็นชื่อ RPC แทนการปิดผนึก RPC |
บันทึกเหตุการณ์ |
ระบบ |
ชนิดเหตุการณ์ |
คำเตือน |
แหล่งเหตุการณ์ |
Netlogon |
ID เหตุการณ์ |
5840 |
ข้อความเหตุการณ์ |
บริการ Netlogon สร้างช่องทางที่ปลอดภัยกับไคลเอ็นต์ด้วย RC4 |
หากคุณพบ Event 5840 นี่เป็นสัญญาณว่าไคลเอ็นต์ในโดเมนของคุณใช้การเข้ารหัสลับที่ไม่เหมาะสม
บันทึกเหตุการณ์ |
ระบบ |
ชนิดเหตุการณ์ |
ข้อผิดพลาด |
แหล่งเหตุการณ์ |
Netlogon |
ID เหตุการณ์ |
5841 |
ข้อความเหตุการณ์ |
บริการ Netlogon ปฏิเสธไคลเอนต์ที่ใช้ RC4 เนื่องจากการตั้งค่า 'RejectMd5Clients' |
ถ้าคุณพบ เหตุการณ์ 5841 นี่คือสัญญาณว่าค่า RejectMD5Clients ถูกตั้งค่าเป็น TRUE
RejectMD5Clients ของตัวแบบข้อมูลแบบนามธรรม
คีย์ RejectMD5Clients เป็นคีย์ที่มีอยู่ก่อนในบริการ Netlogon สําหรับข้อมูลเพิ่มเติม ให้ดูคําอธิบายคําถามที่ถามบ่อย (FAQ)
บัญชีเครื่องที่เข้าร่วมโดเมนทั้งหมดจะได้รับผลกระทบจาก CVE นี้ เหตุการณ์จะแสดงว่าใครได้รับผลกระทบมากที่สุดจากปัญหานี้หลังจากติดตั้งการอัปเดต Windows เมื่อวันที่ 8 พฤศจิกายน 2022 หรือใหม่กว่า โปรดดูส่วน ข้อผิดพลาดในบันทึกเหตุการณ์ เพื่อแก้ไขปัญหา
เพื่อช่วยตรวจหาไคลเอ็นต์รุ่นเก่าที่ไม่ได้ใช้สกุลเงินคริปโตที่แข็งแกร่งที่สุดการอัปเดตนี้จะแนะนําบันทึกเหตุการณ์สําหรับไคลเอ็นต์ที่ใช้ RC4
การเซ็นชื่อ RPC คือเมื่อโพรโทคอล Netlogon ใช้ RPC เพื่อเซ็นชื่อข้อความที่ส่งผ่านสาย การปิดผนึก RPC คือเมื่อโปรโตคอล Netlogon ทั้งลงชื่อและเข้ารหัสข้อความที่ส่งผ่านสาย
ตัวควบคุมโดเมน Windows กําหนดว่าไคลเอ็นต์ Netlogon กําลังเรียกใช้ Windows โดยการสอบถามแอตทริบิวต์ "OperatingSystem" ใน Active Directory สําหรับไคลเอ็นต์ Netlogon และตรวจสอบสตริงต่อไปนี้:
-
"Windows", "Hyper-V Server" และ "Azure Stack HCI"
เราไม่แนะนําหรือสนับสนุนว่าแอตทริบิวต์นี้จะถูกเปลี่ยนโดยไคลเอ็นต์ Netlogon หรือผู้ดูแลระบบโดเมนเป็นค่าที่ไม่ใช่ตัวแทนของระบบปฏิบัติการ (OS) ที่ไคลเอ็นต์ Netlogon กําลังทํางานอยู่ คุณควรทราบว่าเราอาจเปลี่ยนเกณฑ์การค้นหาได้ตลอดเวลา ดู เปลี่ยน 3
ขั้นตอนการบังคับใช้จะไม่ปฏิเสธไคลเอ็นต์ Netlogon ตามชนิดของการเข้ารหัสลับที่ไคลเอ็นต์ใช้ มันจะปฏิเสธเฉพาะลูกค้า Netlogon ถ้าพวกเขาทํา RPC ลงนามแทนการปิดผนึก RPC การปฏิเสธไคลเอ็นต์ RC4 Netlogon ขึ้นอยู่กับรีจิสทรีคีย์ "RejectMd5Clients" ที่พร้อมใช้งานสําหรับ Windows Server 2008 R2 และตัวควบคุมโดเมน Windows รุ่นที่ใหม่กว่า ขั้นตอนการบังคับใช้สําหรับการอัปเดตนี้จะไม่เปลี่ยนค่า "RejectMd5Clients" เราขอแนะนําให้ลูกค้าเปิดใช้งานค่า "RejectMd5Clients" เพื่อความปลอดภัยที่สูงขึ้นในโดเมนของพวกเขา ดู เปลี่ยน 3
อภิธาน ศัพท์
Advanced Encryption Standard (AES) เป็นตัวเข้ารหัสบล็อกที่ใช้แทนที่ Data Encryption Standard (DES) AES สามารถใช้เพื่อปกป้องข้อมูลอิเล็กทรอนิกส์ได้ อัลกอริทึม AES สามารถใช้เพื่อเข้ารหัสข้อมูล (encipher) และถอดรหัสลับ (ถอดรหัส) การเข้ารหัสลับจะแปลงข้อมูลเป็นฟอร์มที่ไม่สามารถอ่านได้ที่เรียกว่า การเข้ารหัส การถอดรหัสลับข้อความแบบเข้ารหัสจะแปลงข้อมูลกลับเป็นรูปแบบดั้งเดิมที่เรียกว่าข้อความธรรมดา AES จะใช้ในการเข้ารหัสคีย์แบบสมมาตร ซึ่งหมายความว่าคีย์เดียวกันนี้ใช้สําหรับการดําเนินการเข้ารหัสลับและการถอดรหัสลับ นอกจากนี้ยังเป็นการเข้ารหัสบล็อก ซึ่งหมายความว่าจะทํางานบนบล็อกข้อความธรรมดาและข้อความลับที่มีขนาดคงที่ และต้องมีขนาดของข้อความธรรมดาและข้อความธรรมดาเช่นเดียวกับตัวระบุเป็นตัวคูณที่แน่นอนของขนาดบล็อกนี้ AES เรียกอีกอย่างว่า Rijndael อัลกอริทึมการเข้ารหัสแบบสมมาตร [FIPS197]
ในสภาพแวดล้อมความปลอดภัยของเครือข่ายที่เข้ากันได้กับระบบปฏิบัติการ Windows NT คอมโพเนนต์ที่มีหน้าที่ในการซิงโครไนซ์และฟังก์ชันการบํารุงรักษาระหว่าง ตัวควบคุมโดเมนหลัก (PDC) และตัวควบคุมโดเมนสํารอง (BDC) Netlogon คือตัวตั้งต้นของโพรโทคอลเซิร์ฟเวอร์การจําลองแบบไดเรกทอรี (DRS) Netlogon Remote Protocol Remote Procedure Call (RPC) ใช้เพื่อรักษาความสัมพันธ์ระหว่างอุปกรณ์กับ โดเมน และความสัมพันธ์ระหว่าง ตัวควบคุมโดเมน (DC) และโดเมนเป็นหลัก สําหรับข้อมูลเพิ่มเติม โปรดดู Netlogon Remote Protocol
RC4-HMAC (RC4) เป็นอัลกอริทึมการเข้ารหัสลับแบบสมมาตรที่แปรผันได้ ดูข้อมูลเพิ่มเติมได้ที่ [SCHNEIER] ส่วน 17.1
การเชื่อมต่อการเรียกกระบวนการระยะไกล (RPC) ที่ได้รับการรับรองความถูกต้องระหว่างเครื่องสองเครื่องในโดเมนที่มีบริบทความปลอดภัยที่สร้างขึ้นที่ใช้สําหรับการเซ็นชื่อและการเข้ารหัสแพคเก็ต RPC