FRISSÍTVE 2023. március 20. – Rendelkezésre állás szakasz
Összefoglalás
Az elosztott összetevő-objektummodell (DCOM) távoli protokollja egy olyan protokoll, amely távoli eljáráshívásokkal (RPC-k) teszi közzé az alkalmazásobjektumokat. A DCOM a hálózati eszközök szoftverösszetevői közötti kommunikációra szolgál. A CVE-2021-26414 esetében a DCOM-ban módosításokat kellett végrehajtani. Ezért azt javasoljuk, hogy ellenőrizze, hogy a környezetben a DCOM-ot vagy RPC-t használó ügyfél- vagy kiszolgálóalkalmazások a várt módon működnek-e, ha a korlátozási módosítások engedélyezve van.
Megjegyzés Javasoljuk, hogy telepítse a legújabb elérhető biztonsági frissítést. Speciális védelmet nyújtanak a legújabb biztonsági fenyegetések ellen. Emellett olyan képességeket is biztosítanak, amelyeket a migrálás támogatásához adtunk hozzá. A DCOM megerősítésének módjáról további információt és kontextust a DCOM-hitelesítés megerősítését ismertető cikkben talál: tudnivalók.
A DCOM-frissítések első fázisa 2021. június 8-án jelent meg. Ebben a frissítésben a DCOM-korlátozás alapértelmezés szerint le lett tiltva. Az engedélyezésükhöz módosítsa a beállításjegyzéket a lenti "Beállításjegyzék-beállítás a korlátozási módosítások engedélyezéséhez vagy letiltásához" című szakaszban leírtak szerint. A DCOM-frissítések második fázisa 2022. június 14-én jelent meg. Ez a korlátozás alapértelmezés szerint engedélyezve volt, de a beállításkulcs-beállításokkal továbbra is letiltotta a módosításokat. A DCOM-frissítések utolsó fázisa 2023 márciusában jelenik meg. Így a DCOM-korlátozás engedélyezve marad, és nem lesz letiltható.
Idővonal
Frissítés kiadása |
Viselkedésváltozás |
2021. június 8. |
1. fázisú kiadás – A módosítások megerősítését alapértelmezés szerint letiltja, de lehetővé teszi számukra egy beállításkulcs használatával. |
2022. június 14. |
2. fázisú kiadás – A módosítások alapértelmezés szerint engedélyezve lesznek, de letilthatók egy beállításkulcs használatával. |
2023. március 14. |
3. fázisú kiadás – A módosítások alapértelmezés szerint engedélyezve lesznek, és nem tilthatók le. Ezen a ponton meg kell oldania a környezetében lévő módosításokkal és alkalmazásokkal kapcsolatos kompatibilitási problémákat. |
A DCOM kompatibilitásának tesztelése
Új DCOM-hibaesemények
A DCOM biztonsági korlátozási módosításainak engedélyezése után kompatibilitási problémákkal rendelkező alkalmazások azonosításához új DCOM-hibaeseményeket adtunk hozzá a rendszernaplóhoz. Tekintse meg az alábbi táblázatokat. A rendszer naplózza ezeket az eseményeket, ha azt észleli, hogy egy DCOM-ügyfélalkalmazás olyan hitelesítési szinttel próbál aktiválni egy DCOM-kiszolgálót, amely kisebb, mint RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. A kiszolgálóoldali eseménynaplóból nyomon követheti az ügyféleszközt, és ügyféloldali eseménynaplókkal megkeresheti az alkalmazást.
Kiszolgálói események – Azt jelzi, hogy a kiszolgáló alacsonyabb szintű kéréseket kap
Eseményazonosító |
Üzenetet |
---|---|
10036 |
"A kiszolgálóoldali hitelesítési szintű házirend nem engedélyezi a(z) %1\%2 biztonsági azonosítót (%3) a(z) %4 címről a DCOM-kiszolgáló aktiválásához. Emelje meg az aktiválási hitelesítési szintet legalább az ügyfélalkalmazásban RPC_C_AUTHN_LEVEL_PKT_INTEGRITY." (%1 – tartomány, %2 – felhasználónév, %3 – felhasználói azonosító, %4 – ügyfél IP-címe) |
Ügyfélesemények – Azt jelzi, hogy melyik alkalmazás küld alacsonyabb szintű kéréseket
Eseményazonosító |
Üzenetet |
---|---|
10037 |
"A(z) %2 PID-vel rendelkező %1 alkalmazás a(z) %4 számítógépen a(z) %3 CLSID aktiválását kéri a(z) %5 hitelesítési szint explicit beállításával. A DCOM által megkövetelt legalacsonyabb aktiválási hitelesítési szint az 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Az aktiválási hitelesítési szint megemeléséhez forduljon az alkalmazás gyártójához." |
10038 |
"A(z) %2 PID-vel rendelkező %1 alkalmazás a(z) %3 CLSID aktiválását kéri a(z) %4 számítógépen a(z) %5 alapértelmezett aktiválási hitelesítési szinttel. A DCOM által megkövetelt legalacsonyabb aktiválási hitelesítési szint az 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Az aktiválási hitelesítési szint megemeléséhez forduljon az alkalmazás gyártójához." (%1 – Alkalmazás elérési útja, %2 – Alkalmazás piD-azonosítója, %3 – az alkalmazás által aktiválni kívánt COM-osztály CLSID azonosítója, %4 – Számítógép neve, %5 – Hitelesítési szint értéke) |
Rendelkezésre állás
Ezek a hibaesemények csak a Windows-verziók egy részhalmazához érhetők el; lásd az alábbi táblázatot.
Windows-verzió |
Ezek a dátumok a következő dátumokon érhetők el: |
---|---|
Windows Server 2022 |
2021. szeptember 27. |
Windows 10, 2004-es verzió, Windows 10, 20H2-es verzió, Windows 10, 21H1-es verzió |
2021. szeptember 1. |
Windows 10, 1909-es verzió |
2021. augusztus 26. |
Windows Server 2019, Windows 10, 1809-es verzió |
2021. augusztus 26. |
Windows Server 2016, Windows 10, 1607-es verzió |
2021. szeptember 14. |
Windows Server 2012 R2 és Windows 8.1 |
2021. október 12. |
Windows 11, 22H2-es verzió |
2022. szeptember 30., kedd |
Ügyféloldali kérés automatikus emelési javítása
Hitelesítési szint az összes nem névtelen aktiválási kéréshez
Az alkalmazáskompatibilitási problémák csökkentése érdekében automatikusan megemeltük a Windows-alapú DCOM-ügyfelektől érkező nem névtelen aktiválási kérelmek hitelesítési szintjét, hogy legalább RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Ezzel a módosítással a legtöbb Windows-alapú DCOM-ügyfélkérés automatikusan elfogadva lesz, ha a DCOM-beli korlátozási módosítások engedélyezve vannak a kiszolgálóoldalon a DCOM-ügyfél további módosítása nélkül. Emellett a legtöbb Windows DCOM-ügyfél automatikusan együttműködik a DCOM-beli módosításokkal a kiszolgálóoldalon, a DCOM-ügyfél további módosítása nélkül.
Megjegyzés Ez a javítás továbbra is szerepelni fog az összegző frissítésekben.
Javításfrissítés idővonala
A 2022 novemberében megjelent első kiadás óta az automatikus emelési javítás néhány frissítést tartalmazott.
-
2022. novemberi frissítés
-
Ez a frissítés automatikusan megemelte az aktiválás hitelesítési szintjét a csomagintegritásra. Ez a módosítás alapértelmezés szerint le lett tiltva Windows Server 2016 és Windows Server 2019 rendszeren.
-
-
2022. decemberi frissítés
-
A novemberi módosítás alapértelmezés szerint engedélyezve lett a Windows Server 2016 és a Windows Server 2019 esetében.
-
Ez a frissítés kijavított egy hibát is, amely hatással volt az Windows Server 2016 és a Windows Server 2019 névtelen aktiválására.
-
-
2023. januári frissítés
-
Ez a frissítés kijavított egy hibát, amely hatással volt a Windows Server 2008 és Windows 10 platformokon történő névtelen aktiválásra (a kezdeti verzió 2015 júliusában jelent meg).
-
Ha 2023 januárjától telepítette a kumulatív biztonsági frissítéseket az ügyfelekre és a kiszolgálókra, akkor a legújabb automatikus emelőjavítás teljes mértékben engedélyezve lesz.
Beállításjegyzék-beállítás a korlátozási módosítások engedélyezéséhez vagy letiltásához
A CVE-2021-26414 korlátozási módosításainak engedélyezését vagy letiltását lehetővé tevő idővonal-szakaszokban a következő beállításkulcsot használhatja:
-
Elérési út: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Érték neve: "RequireIntegrityActivationAuthenticationLevel"
-
Típus: dword
-
Értékadatok: default= 0x00000000 azt jelenti, hogy le van tiltva. 0x00000001 azt jelenti, hogy engedélyezve van. Ha ez az érték nincs definiálva, alapértelmezés szerint engedélyezve lesz.
Megjegyzés Hexadecimális formátumban kell megadnia az Értékadatokat.
Fontos A beállításkulcs érvénybe lépéséhez újra kell indítania az eszközt.
Megjegyzés A fenti beállításkulcs engedélyezésével a DCOM-kiszolgálók Authentication-Level RPC_C_AUTHN_LEVEL_PKT_INTEGRITY vagy magasabb szintű aktiválást kényszerítenek ki. Ez nincs hatással a névtelen aktiválásra (hitelesítési szintű aktiválás RPC_C_AUTHN_LEVEL_NONE). Ha a DCOM-kiszolgáló engedélyezi a névtelen aktiválást, akkor is engedélyezve lesz, még akkor is, ha a DCOM-korlátozási módosítások engedélyezve vannak.
Megjegyzés Ez a beállításazonosító alapértelmezés szerint nem létezik; létre kell hoznia. A Windows felolvassa, ha létezik, és nem írja felül.
Megjegyzés A későbbi frissítések telepítése nem módosítja és nem távolítja el a meglévő beállításjegyzékbeli bejegyzéseket és beállításokat.