מעודכן 20 במרץ 2023 - מקטע זמינות
סיכום
פרוטוקול מרוחק של מודל אובייקט רכיב מבוזר (DCOM) הוא פרוטוקול לחשיפה של אובייקטי יישומים באמצעות קריאות לפרוצדורות מרוחקות (RPCs). DCOM משמש לתקשורת בין רכיבי התוכנה של התקנים ברשת. נדרשו שינויי הקשחה ב- DCOM עבור CVE-2021-26414. לכן, מומלץ לוודא אם יישומי לקוח או שרת בסביבה שלך המשתמשים ב- DCOM או ב- RPC פועלים כצפוי כאשר שינויי הקשוח זמינים.
הערה אנו ממליצים להתקין את עדכון האבטחה האחרון הזמין. הם מספקים הגנות מתקדמות מפני איומי האבטחה העדכניים ביותר. הם גם מספקים יכולות שהוספנו כדי לתמוך בהעברה. לקבלת מידע נוסף והקשר לגבי האופן שבו אנו מקקשים את DCOM, ראה הקשת אימות DCOM: המידע שעליך לדעת.
השלב הראשון של עדכוני DCOM פורסם ב- 8 ביוני, 2021. בעדכון זה, הקשת DCOM הפכה ללא זמינה כברירת מחדל. באפשרותך להפוך אותם לזמינים על-ידי שינוי הרישום כמתואר בסעיף "הגדרת רישום כדי להפוך את שינויי הקשת" לזמינים או ללא זמינים" להלן. השלב השני של עדכוני DCOM פורסם ב- 14 ביוני 2022. פעולה זו שינתה את הקשתיות לזמינה כברירת מחדל, אך שמרה על היכולת להפוך את השינויים ללא זמינים באמצעות הגדרות מפתח הרישום. השלב הסופי של עדכוני DCOM יופץ במרץ 2023. היא תשאיר את הקשית DCOM מופעלת ותסיר את היכולת להפוך אותה ללא זמינה.
ציר זמן
עדכון הפצה |
שינוי אופן פעולה |
ה-8 ביוני 2021 |
מהדורה שלב 1 - הקשת שינויים אינה זמינה כברירת מחדל, אך היכולת להפוך אותם לזמינים באמצעות מפתח רישום. |
ה-14 ביוני 2022 |
מהדורה שלב 2 - הקשת שינויים מופעלת כברירת מחדל, אך עם היכולת להפוך אותם ללא זמינים באמצעות מפתח רישום. |
(יום שלישי 14 מרץ 2023) |
הפצה בשלב 3 - הקשת שינויים מופעלת כברירת מחדל ללא יכולת להפוך אותם ללא זמינים. בשלב זה, עליך לפתור בעיות תאימות כלשהן עם השינויים הקשים והיישומים בסביבה שלך. |
בדיקת תאימות של הקשת DCOM
אירועי שגיאה חדשים של DCOM
כדי לעזור לך לזהות את היישומים שעשויים להיתקל בבעיות תאימות לאחר שאנו מאפשרים שינויי הקשת אבטחה של DCOM, הוספנו אירועי שגיאה חדשים של DCOM ביומן המערכת. עיין בטבלאות הבאות. המערכת תרשום אירועים אלה אם היא מזהה כי יישום לקוח DCOM מנסה להפעיל שרת DCOM באמצעות רמת אימות נמוכה מ- RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. באפשרותך לעקוב אחר התקן הלקוח מ יומן האירועים בצד השרת ולהשתמש ביומני אירועים בצד הלקוח כדי למצוא את היישום.
אירועי שרת - ציין שהשרת מקבל בקשות ברמה נמוכה יותר
מזהה האירוע |
ההודעה |
---|---|
10036 |
"מדיניות רמת האימות בצד השרת אינה מאפשרת למשתמש %1\%2 SID (%3) מכתובת %4 להפעיל את שרת DCOM. נא הגדל את רמת אימות ההפעלה כדי RPC_C_AUTHN_LEVEL_PKT_INTEGRITY ביישום הלקוח." (%1 – תחום, %2 – שם משתמש, %3 – SID של משתמש, %4 – כתובת IP של לקוח) |
אירועי לקוח – ציין איזה יישום שולח בקשות ברמה נמוכה יותר
מזהה האירוע |
ההודעה |
---|---|
10037 |
"היישום %1 עם PID %2 מבקש להפעיל את CLSID %3 במחשב %4 עם הגדרה מפורשת של רמת אימות ב- %5. רמת אימות ההפעלה הנמוכה ביותר הנדרשת על-ידי DCOM היא 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). כדי להעלות את רמת אימות ההפעלה, פנה לספק היישום." |
10038 |
"היישום %1 עם PID %2 מבקש להפעיל את CLSID %3 במחשב %4 עם רמת אימות הפעלה המהווה ברירת מחדל ב- %5. רמת אימות ההפעלה הנמוכה ביותר הנדרשת על-ידי DCOM היא 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). כדי להעלות את רמת אימות ההפעלה, פנה לספק היישום." (%1 – נתיב יישום, %2 – Application PID, %3 – CLSID של מחלקת ה- COM שהיישום מבקש להפעיל, %4 – שם המחשב, %5 – ערך רמת האימות) |
זמינות
אירועי שגיאה אלה זמינים רק עבור קבוצת משנה של גירסאות Windows; עיין בטבלה שלהלן.
גירסת Windows |
זמין בתאריכים אלה או לאחר מכן |
---|---|
Windows Server 2022 |
עדכון 27 בספטמבר 2021 |
Windows 10, גירסה 2004, Windows 10 20H2, Windows 10, גירסה 21H1 |
עדכון 1 בספטמבר 2021 |
Windows 10, גרסה 1909 |
ה-26 באוגוסט 2021 |
Windows Server 2019, Windows 10, גרסה 1809 |
ה-26 באוגוסט 2021 |
Windows Server 2016, Windows 10, גרסה 1607 |
14 בספטמבר 2021 |
Windows Server 2012 R2 ו- Windows 8.1 |
12 באוקטובר 2021 |
Windows 11, גירסה 22H2 |
עדכון 30 בספטמבר 2022 |
תיקון העלאה אוטומטית של בקשה בצד הלקוח
רמת אימות עבור כל בקשות ההפעלה שאינן אנונימיות
כדי לסייע בהפחתת בעיות תאימות של אפליקציות, העלינו באופן אוטומטי את רמת האימות עבור כל בקשות ההפעלה הלא אנונימיות מהלקוחות מבוססי Windows כדי RPC_C_AUTHN_LEVEL_PKT_INTEGRITY לכל הפחות. עם שינוי זה, רוב בקשות לקוח DCOM המבוססות על Windows יתקבלו באופן אוטומטי עם שינויי הקשת DCOM זמינים בצד השרת ללא שינוי נוסף בלקוח DCOM. בנוסף, רוב לקוחות Windows DCOM יפעלו באופן אוטומטי עם שינויי הקשת DCOM בצד השרת ללא שינוי נוסף בלקוח DCOM.
הערה תיקון זה ימשיך להיכלל בעדכונים המצטברים.
ציר זמן של עדכון תיקון
מאז ההפצה הראשונית בנובמבר 2022, תיקון ההרמה האוטומטית כלל כמה עדכונים.
-
עדכון נובמבר 2022
-
עדכון זה העלה באופן אוטומטי את רמת אימות ההפעלה לשלמות מנות. שינוי זה הפך ללא זמין כברירת מחדל ב- Windows Server 2016 וב- Windows Server 2019.
-
-
עדכון דצמבר 2022
-
השינוי בנובמבר הופעל כברירת מחדל עבור Windows Server 2016 ו- Windows Server 2019.
-
עדכון זה גם טופלה בבעיה שהשפיעה על הפעלה אנונימית ב- Windows Server 2016 וב- Windows Server 2019.
-
-
עדכון ינואר 2023
-
עדכון זה טופלה בבעיה שהשפיעה על הפעלה אנונימית בפלטפורמות מ- Windows Server 2008 עד Windows 10 (הגירסה הראשונית שפורסמה ביולי 2015).
-
אם התקנת את עדכוני האבטחה המצטברים החל מינואר 2023 ללקוחות ולשרתים שלך, התיקון האחרון להרמה אוטומטית יהיה זמין באופן מלא.
הגדרת רישום כדי להפוך את שינויי הקשת לזמינים או ללא זמינים
במהלך שלבי ציר הזמן שבהם באפשרותך להפוך את שינויי הקשחה לזמינים או ללא זמינים עבור CVE-2021-26414, באפשרותך להשתמש במפתח הרישום הבא:
-
נתיב: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
שם ערך: "RequireIntegrityActivationAuthenticationLevel"
-
סוג: dword
-
נתוני ערך: ברירת מחדל = 0x00000000 משמעו לא זמין. 0x00000001 משמע זמין. אם ערך זה אינו מוגדר, הוא יהפוך לזמין כברירת מחדל.
הערה עליך להזין נתוני ערך בתבנית הקסדצימאלית.
חשוב עליך להפעיל מחדש את המכשיר לאחר הגדרת מפתח רישום זה כדי שהוא יהיה מחובר לתוקף.
הערה הפיכת מפתח הרישום לעיל להפעלה תגרום לשרתי DCOM לאכוף Authentication-Level של RPC_C_AUTHN_LEVEL_PKT_INTEGRITY או גירסה מתקדמת יותר להפעלה. הדבר אינו משפיע על הפעלה אנונימית (הפעלה באמצעות רמת אימות RPC_C_AUTHN_LEVEL_NONE). אם שרת DCOM מאפשר הפעלה אנונימית, הוא עדיין יהיה מותר גם עם שינויי הקשת DCOM מופעלים.
הערה ערך רישום זה אינו קיים כברירת מחדל; עליך ליצור אותו. Windows יקרא אותו אם הוא קיים ולא יחליף אותו.
הערה התקנת עדכונים מאוחרים יותר לא תשנה ולא תסיר ערכים והגדרות רישום קיימים.