ĐÃ CẬP NHẬT 20 tháng 3, 2023 - Phần Sẵn sàng
Tóm tắt
Giao thức Từ xa Mô hình Đối tượng Thành phần Phân tán (DCOM) là một giao thức để hiển thị các đối tượng ứng dụng sử dụng thủ tục gọi từ xa (RPCs). DCOM được sử dụng để giao tiếp giữa các cấu phần phần mềm của thiết bị kết nối mạng. Các thay đổi khó khăn trong DCOM là bắt buộc đối với CVE-2021-26414. Do đó, chúng tôi khuyên bạn nên xác minh xem các ứng dụng máy khách hoặc máy chủ trong môi trường của bạn sử dụng DCOM hoặc RPC hoạt động như mong đợi với các thay đổi cứng được bật hay không.
Lưu ý Chúng tôi khuyên bạn nên cài đặt bản cập nhật bảo mật mới nhất có sẵn. Các ứng dụng này cung cấp tính năng bảo vệ nâng cao khỏi các mối đe dọa bảo mật mới nhất. Chúng cũng cung cấp các chức năng mà chúng tôi đã thêm vào để hỗ trợ di chuyển. Để biết thêm thông tin và ngữ cảnh về cách chúng tôi đang làm cứng DCOM, hãy xem Mục C cố định xác thực DCOM: những điều bạn cần biết.
Giai đoạn đầu tiên của các bản cập nhật DCOM được phát hành vào ngày 8 tháng 6 năm 2021. Trong bản cập nhật đó, DCOM hardening đã bị vô hiệu hóa theo mặc định. Bạn có thể bật chúng bằng cách sửa đổi sổ đăng ký như được mô tả trong phần "Thiết đặt sổ đăng ký để bật hoặc tắt các thay đổi c cứng" dưới đây. Giai đoạn thứ hai của các bản cập nhật DCOM được phát hành vào ngày 14 tháng 6 năm 2022. Điều đó đã thay đổi độ cứng để bật theo mặc định nhưng vẫn duy trì khả năng vô hiệu hóa các thay đổi bằng cách sử dụng cài đặt khóa đăng ký. Giai đoạn cuối cùng của các bản cập nhật DCOM sẽ được phát hành vào tháng 3 năm 2023. Nó sẽ giữ cho DCOM hardening kích hoạt và loại bỏ khả năng vô hiệu hóa nó.
Dòng thời gian
Bản phát hành cập nhật |
Thay đổi hành vi |
Ngày 8 tháng 6 năm 2021 |
Giai đoạn 1 Phát hành - Hardening thay đổi bị vô hiệu hóa theo mặc định nhưng với khả năng để cho phép họ bằng cách sử dụng một khóa đăng ký. |
Ngày 14 tháng 6 năm 2022 |
Phase 2 Release - Hardening changes enabled by default but with the ability to disable them using a registry key. |
Ngày 14 tháng 3 năm 2023 |
Phase 3 Release - Hardening changes enabled by default with no ability to disable them. Đến thời điểm này, bạn phải giải quyết bất kỳ vấn đề tương thích với các thay đổi cứng và các ứng dụng trong môi trường của bạn. |
Kiểm tra tính tương thích cứng DCOM
Sự kiện Lỗi DCOM mới
Để giúp bạn xác định các ứng dụng có thể gặp sự cố tương thích sau khi chúng tôi bật các thay đổi c cường bảo mật DCOM, chúng tôi đã thêm các sự kiện lỗi DCOM mới vào nhật ký Hệ thống. Xem bảng dưới đây. Hệ thống sẽ ghi nhật ký các sự kiện này nếu phát hiện ra rằng một ứng dụng máy khách DCOM đang cố gắng kích hoạt một máy chủ DCOM bằng cách sử dụng một mức xác thực mà là ít hơn RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Bạn có thể theo dõi thiết bị khách từ nhật ký sự kiện phía máy chủ và sử dụng nhật ký sự kiện phía máy khách để tìm ứng dụng.
Sự kiện Máy chủ - Chỉ báo máy chủ đang nhận yêu cầu cấp thấp hơn
ID Sự kiện |
Thư |
---|---|
10036 |
"Chính sách mức xác thực phía máy chủ không cho phép người dùng %1\%2 SID (%3) từ địa chỉ %4 để kích hoạt máy chủ DCOM. Vui lòng nâng mức xác thực kích hoạt ít nhất để kích hoạt RPC_C_AUTHN_LEVEL_PKT_INTEGRITY ứng dụng khách". (%1 – miền, %2 – tên người dùng, %3 – SID Người dùng, %4 – Địa chỉ IP Máy khách) |
Sự kiện Máy khách – Chỉ rõ ứng dụng nào đang gửi yêu cầu cấp thấp hơn
ID Sự kiện |
Thư |
---|---|
10037 |
"Ứng dụng %1 với PID %2 đang yêu cầu kích hoạt CLSID %3 trên máy tính %4 với mức xác thực được thiết lập rõ ràng ở %5. Mức xác thực kích hoạt thấp nhất mà DCOM yêu cầu là 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Để nâng mức xác thực kích hoạt, vui lòng liên hệ với nhà cung cấp ứng dụng." |
10038 |
"Ứng dụng %1 với PID %2 đang yêu cầu kích hoạt CLSID %3 trên máy tính %4 với mức xác thực kích hoạt mặc định là %5. Mức xác thực kích hoạt thấp nhất mà DCOM yêu cầu là 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Để nâng mức xác thực kích hoạt, vui lòng liên hệ với nhà cung cấp ứng dụng." (%1 – Đường dẫn Ứng dụng, %2 – Application PID, %3 – CLSID của lớp COM mà ứng dụng yêu cầu kích hoạt, %4 – Tên Máy tính, %5 – Giá trị của Mức Xác thực) |
Sẵn sàng
Các sự kiện lỗi này chỉ sẵn dùng cho một tập hợp con các phiên bản Windows; hãy xem bảng dưới đây.
Phiên bản Windows |
Sẵn dùng vào hoặc sau những ngày này |
---|---|
Windows Server 2022 |
Ngày 27 tháng 9 năm 2021 |
Windows 10, phiên bản 2004, Windows 10, phiên bản 20H2, Windows 10, phiên bản 21H1 |
Ngày 1 tháng 9 năm 2021 |
Windows 10, phiên bản 1909 |
Ngày 26 tháng 8 năm 2021 |
Windows Server 2019, Windows 10, phiên bản 1809 |
Ngày 26 tháng 8 năm 2021 |
Windows Server 2016, Windows 10, phiên bản 1607 |
14/9/2021 |
Windows Server 2012 R2 và Windows 8.1 |
Ngày 12 tháng 10 năm 2021 |
Windows 11, phiên bản 22H2 |
Ngày 30 tháng 9 năm 2022 |
Bản vá tự động nâng cấp yêu cầu phía máy khách
Mức xác thực cho tất cả yêu cầu kích hoạt không ẩn danh
Để giúp giảm sự cố về tính tương thích của ứng dụng, chúng tôi đã tự động nâng mức xác thực cho tất cả các yêu cầu kích hoạt không ẩn danh từ máy khách DCOM dựa trên Windows xuống RPC_C_AUTHN_LEVEL_PKT_INTEGRITY tối thiểu. Với sự thay đổi này, hầu hết các yêu cầu máy khách DCOM dựa trên Windows sẽ được tự động chấp nhận với DCOM thay đổi cứng bật ở phía máy chủ mà không cần sửa đổi thêm bất kỳ máy khách DCOM. Ngoài ra, hầu hết các máy khách Windows DCOM sẽ tự động làm việc với DCOM thay đổi cứng ở phía máy chủ mà không cần bất kỳ sửa đổi thêm cho máy khách DCOM.
Lưu ý Bản vá này sẽ tiếp tục được bao gồm trong các bản cập nhật tích lũy.
Dòng thời gian cập nhật bản vá
Kể từ khi phát hành lần đầu vào tháng 11 năm 2022, bản vá nâng cao tự động đã có một vài bản cập nhật.
-
Bản cập nhật tháng 11 năm 2022
-
Bản cập nhật này tự động nâng mức xác thực kích hoạt lên thành tính toàn vẹn của gói tin. Thay đổi này đã bị tắt theo mặc định trên Windows Server 2016 và Windows server 2019.
-
-
Bản cập nhật Tháng Mười Hai 2022
-
Thay đổi tháng 11 được bật theo mặc định cho Windows Server 2016 và Windows Server 2019.
-
Bản cập nhật này cũng khắc phục sự cố ảnh hưởng đến việc kích hoạt ẩn danh trên Windows Server 2016 và Windows Server 2019.
-
-
Bản cập nhật tháng 1 năm 2023
-
Bản cập nhật này đã khắc phục sự cố ảnh hưởng đến kích hoạt ẩn danh trên các nền tảng từ Windows Server 2008 đến Windows 10 (phiên bản đầu tiên được phát hành vào tháng 7 năm 2015).
-
Nếu bạn đã cài đặt các bản cập nhật bảo mật tích lũy kể từ tháng 1 năm 2023 trên máy khách và máy chủ của mình, chúng sẽ được kích hoạt đầy đủ bản vá tự động nâng cấp mới nhất.
Thiết đặt sổ đăng ký để bật hoặc tắt các thay đổi cứng
Trong giai đoạn đường thời gian mà bạn có thể bật hoặc tắt các thay đổi cứng cho CVE-2021-26414, bạn có thể sử dụng khóa đăng ký sau đây:
-
Đường dẫn: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Tên Giá trị: "RequireIntegrityActivationAuthenticationLevel"
-
Loại: dword
-
Dữ liệu Giá trị: mặc định= 0x00000000 nghĩa là đã tắt. 0x00000001 nghĩa là đã bật. Nếu giá trị này không được xác định, nó sẽ mặc định được bật.
Lưu ý Bạn phải nhập Dữ liệu Giá trị ở định dạng thập lục phân.
Quan trọng Bạn phải khởi động lại thiết bị sau khi đặt khóa đăng ký này để khóa có hiệu lực.
Lưu ý Việc bật khóa đăng ký ở trên sẽ làm cho máy chủ DCOM thực thi Authentication-Level kích RPC_C_AUTHN_LEVEL_PKT_INTEGRITY kích hoạt trở lên. Điều này không ảnh hưởng đến kích hoạt ẩn danh (kích hoạt bằng cách sử dụng mức xác RPC_C_AUTHN_LEVEL_NONE). Nếu máy chủ DCOM cho phép kích hoạt vô danh, nó vẫn sẽ được cho phép ngay cả khi DCOM thay đổi cứng được kích hoạt.
Lưu ý Giá trị sổ đăng ký này không tồn tại theo mặc định; bạn phải tạo ra nó. Windows sẽ đọc nó nếu nó tồn tại và sẽ không ghi đè nó.
Lưu ý Việc cài đặt các bản cập nhật sau này sẽ không thay đổi hay loại bỏ các mục đăng ký và cài đặt hiện có.