ATUALIZADO 20 de março de 2023 – Seção Disponibilidade
Resumo
O Protocolo Remoto DCOM (Modelo de Objeto de Componente Distribuído) é um protocolo para expor objetos de aplicativo usando RPCs (chamadas de procedimento remoto). O DCOM é usado para comunicação entre os componentes de software de dispositivos em rede. Foram necessárias alterações de endurecimento no DCOM para CVE-2021-26414. Portanto, recomendamos que você verifique se os aplicativos cliente ou servidor em seu ambiente que usam DCOM ou RPC funcionam conforme o esperado com as alterações de endurecimento habilitadas.
Observação É altamente recomendável instalar a atualização de segurança mais recente disponível. Eles fornecem proteções avançadas contra as ameaças de segurança mais recentes. Eles também fornecem recursos que adicionamos para dar suporte à migração. Para obter mais informações e contexto sobre como estamos endurecendo o DCOM, confira o endurecimento da autenticação DCOM: o que você precisa saber.
A primeira fase das atualizações DCOM foi lançada em 8 de junho de 2021. Nessa atualização, o endurecimento do DCOM foi desabilitado por padrão. Você pode habilitá-los modificando o registro conforme descrito na seção "Configuração do Registro para habilitar ou desabilitar as alterações de endurecimento" abaixo. A segunda fase das atualizações DCOM foi lançada em 14 de junho de 2022. Isso alterou o endurecimento para habilitado por padrão, mas manteve a capacidade de desabilitar as alterações usando as configurações de chave do registro. A fase final das atualizações DCOM será lançada em março de 2023. Ele manterá o endurecimento DCOM habilitado e removerá a capacidade de desabilitá-lo.
Cronograma
Atualizar versão |
Alteração de comportamento |
8 de junho de 2021 |
Versão da Fase 1 – Endurecendo as alterações desabilitadas por padrão, mas com a capacidade de habilitá-las usando uma chave de registro. |
14 de junho de 2022 |
Versão da fase 2 – endurecendo as alterações habilitadas por padrão, mas com a capacidade de desabilitar usando uma chave de registro. |
14 de março de 2023 |
Versão da Fase 3 – endurecendo as alterações habilitadas por padrão, sem capacidade de desabilitar. Nesse ponto, você deve resolver quaisquer problemas de compatibilidade com as alterações de endurecimento e aplicativos em seu ambiente. |
Teste para compatibilidade de endurecimento do DCOM
Novos eventos de erro DCOM
Para ajudá-lo a identificar os aplicativos que podem ter problemas de compatibilidade depois de habilitar as alterações de endurecimento de segurança DCOM, adicionamos novos eventos de erro DCOM no log do Sistema. Confira as tabelas abaixo. O sistema registrará esses eventos se detectar que um aplicativo cliente DCOM está tentando ativar um servidor DCOM usando um nível de autenticação menor que RPC_C_AUTHN_LEVEL_PKT_INTEGRITY. Você pode rastrear até o dispositivo cliente no log de eventos do lado do servidor e usar logs de eventos do lado do cliente para localizar o aplicativo.
Eventos do servidor – Indicar que o servidor está recebendo solicitações de nível inferior
ID de Evento |
Mensagem |
---|---|
10036 |
"A política de nível de autenticação do lado do servidor não permite que o usuário %1\%2 SID (%3) do endereço %4 ative o servidor DCOM. Aumente o nível de autenticação de ativação pelo menos para RPC_C_AUTHN_LEVEL_PKT_INTEGRITY no aplicativo cliente". (%1 – domínio, %2 – nome de usuário, %3 – SID do usuário, %4 – Endereço IP do cliente) |
Eventos do cliente – indica qual aplicativo está enviando solicitações de nível inferior
ID de Evento |
Mensagem |
---|---|
10037 |
"O aplicativo %1 com PID %2 está solicitando ativar o CLSID %3 no computador %4 com o nível de autenticação definido explicitamente em %5. O nível de autenticação de ativação mais baixo exigido pelo DCOM é 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Para elevar o nível de autenticação de ativação, entre em contato com o fornecedor do aplicativo.". |
10038 |
"O aplicativo %1 com PID %2 está solicitando ativar o CLSID %3 no computador %4 com o nível padrão de autenticação de ativação em %5. O nível de autenticação de ativação mais baixo exigido pelo DCOM é 5(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY). Para elevar o nível de autenticação de ativação, entre em contato com o fornecedor do aplicativo.". (%1 – Caminho do Aplicativo, %2 – PID do Aplicativo, %3 – CLSID da classe COM que o aplicativo está solicitando para ativar, %4 – Nome do Computador, %5 – Valor do Nível de Autenticação) |
Disponibilidade
Esses eventos de erro só estão disponíveis para um subconjunto de versões do Windows; confira a tabela abaixo.
Versão do Windows |
Disponível em ou após essas datas |
---|---|
Windows Server 2022 |
27 de setembro de 2021 |
Windows 10, versão 2004, Windows 10, versão 20H2, Windows 10, versão 21H1 |
1º de setembro de 2021 |
Windows 10, versão 1909 |
26 de agosto de 2021 |
Windows Server 2019, Windows 10, versão 1809 |
26 de agosto de 2021 |
Windows Server 2016, Windows 10, versão 1607 |
14 de setembro de 2021 |
Windows Server 2012 R2 e Windows 8.1 |
12 de outubro de 2021 |
Windows 11, versão 22H2 |
30 de setembro de 2022 |
Patch de elevação automática de solicitação do lado do cliente
Nível de autenticação para todas as solicitações de ativação não anônimas
Para ajudar a reduzir os problemas de compatibilidade do aplicativo, elevamos automaticamente o nível de autenticação para todas as solicitações de ativação não anônimas de clientes DCOM baseados no Windows para RPC_C_AUTHN_LEVEL_PKT_INTEGRITY no mínimo. Com essa alteração, a maioria das solicitações de cliente DCOM baseadas no Windows será aceita automaticamente com alterações de endurecimento DCOM habilitadas no lado do servidor sem nenhuma modificação adicional no cliente DCOM. Além disso, a maioria dos clientes DCOM do Windows trabalhará automaticamente com alterações de endurecimento de DCOM no lado do servidor sem nenhuma modificação adicional no cliente DCOM.
Observação Esse patch continuará a ser incluído nas atualizações cumulativas.
Linha do tempo de atualização de patch
Desde a versão inicial, em novembro de 2022, o patch de elevação automática teve algumas atualizações.
-
Atualização de novembro de 2022
-
Essa atualização elevou automaticamente o nível de autenticação de ativação para a integridade do pacote. Essa alteração foi desabilitada por padrão no Windows Server 2016 e no Windows Server 2019.
-
-
Atualização de dezembro de 2022
-
A alteração de novembro foi habilitada por padrão para Windows Server 2016 e Windows Server 2019.
-
Essa atualização também abordou um problema que afetou a ativação anônima no Windows Server 2016 e no Windows Server 2019.
-
-
Atualização de janeiro de 2023
-
Essa atualização abordou um problema que afetou a ativação anônima em plataformas do Windows Server 2008 para Windows 10 (versão inicial lançada em julho de 2015).
-
Se você tiver instalado as atualizações de segurança cumulativas a partir de janeiro de 2023 em seus clientes e servidores, elas terão o patch de elevação automática mais recente totalmente habilitado.
Configuração do registro para habilitar ou desabilitar as alterações de endurecimento
Durante as fases da linha do tempo nas quais você pode habilitar ou desabilitar as alterações de endurecimento para CVE-2021-26414, você pode usar a seguinte chave de registro:
-
Caminho: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
-
Nome do valor: "RequireIntegrityActivationAuthenticationLevel"
-
Tipo: dword
-
Dados de valor: padrão= 0x00000000 significa desabilitado. 0x00000001 significa habilitado. Se esse valor não for definido, ele será padrão para habilitado.
Observação Você deve inserir Dados de Valor no formato hexadecimal.
Importante Você deve reiniciar seu dispositivo depois de definir essa chave do registro para que ele entre em vigor.
Observação Habilitar a chave do registro acima fará com que os servidores DCOM imponham uma Authentication-Level de RPC_C_AUTHN_LEVEL_PKT_INTEGRITY ou superior para ativação. Isso não afeta a ativação anônima (ativação usando o nível de autenticação RPC_C_AUTHN_LEVEL_NONE). Se o servidor DCOM permitir a ativação anônima, ele ainda será permitido mesmo com as alterações de endurecimento do DCOM habilitadas.
Observação Esse valor de registro não existe por padrão; você deve criá-lo. O Windows o lerá se ele existir e não o substituirá.
Observação A instalação de atualizações posteriores não mudará nem removerá as entradas e as configurações existentes do registro.