Log de mudanças
Alteração 1: 5 de abril de 2023: Moveu a fase "Imposição por padrão" da chave de Registro de 11 de abril de 2023 para 13 de junho de 2023 na seção "Intervalo de atualizações para abordar a CVE-2022-38023". Alteração 2: 20 de abril de 2023: Referência imprecisa removida ao objeto de política de grupo (GPO) "Controlador de Domínio: permitir conexões de canal seguro de logon de rede vulneráveis" na seção "Configurações de Chave do registro". Alteração 3: 19 de junho de 2023:
|
Neste artigo
Resumo
As atualizações do Windows de 08 de novembro de 2022 e posteriores abordam fraquezas no protocolo Netlogon quando a assinatura do RPC é usada em vez da vedação RPC. Mais informações podem ser encontradas no CVE-2022-38023 .
A interface do Protocolo Remoto Netlogon chamada de procedimento remoto (RPC) é usada principalmente para manter a relação entre um dispositivo e seu domínio , e relações entre controladores de domínio (DCs) e domínios.
Essa atualização protege os dispositivos Windows do CVE-2022-38023 por padrão. Para clientes de terceiros e controladores de domínio de terceiros, a atualização está no modo de compatibilidade por padrão e permite conexões vulneráveis desses clientes. Consulte a seção Configurações da Chave do Registro para verificar as etapas a serem movidas para o Modo de imposição.
Para ajudar a proteger seu ambiente, instale a atualização do Windows com a data de 08 de novembro de 2022 ou uma atualização posterior do Windows para todos os dispositivos, incluindo controladores de domínio.
Importante A partir de julho de 2023, o modo de imposição será habilitado em todos os controladores de domínio do Windows e bloqueará conexões vulneráveis de dispositivos não em não conformidade. Nesse momento, você não poderá desabilitar a atualização, mas poderá voltar para a configuração do Modo de compatibilidade. O Modo de compatibilidade será removido em julho de 2023, conforme descrito na seção Tempo de atualizações para resolver a vulnerabilidade do Netlogon CVE-2022-38023.
Tempo das atualizações para resolver o CVE-2022-38023
As atualizações serão lançadas em várias fases: a fase inicial para atualizações lançadas em ou após 08 de novembro de 2022 e a fase de imposição para atualizações lançadas em ou após 11 de julho de 2023.
A fase de implantação inicial começa com as atualizações lançadas em 08 de novembro de 2022 e continua com as atualizações posteriores do Windows até a fase de imposição. As atualizações do Windows em ou após 08 de novembro de 2022 resolvem a vulnerabilidade do bypass de segurança da CVE-2022-38023 impondo a vedação RPC em todos os clientes Windows.
Por padrão, os dispositivos serão definidos no Modo de compatibilidade. Os controladores de domínio do Windows exigirão que os clientes Netlogon usem o selo RPC se estiverem executando o Windows ou se estiverem atuando como controladores de domínio ou como contas de confiança.
As atualizações do Windows lançadas em ou após 11 de abril de 2023 removerão a capacidade de desabilitar a vedação RPC definindo o valor 0 para subchave do registro RequireSeal.
A subchave do registro RequireSeal será movida para o modo Imposto, a menos que os administradores configurem explicitamente para estarem no Modo de compatibilidade. As conexões vulneráveis de todos os clientes, incluindo terceiros, terão a autenticação negada. Consulte Alteração 1.
As atualizações do Windows lançadas em 11 de julho de 2023 removerão a capacidade de definir o valor 1 como a subchave do registro RequireSeal. Isso habilita a Fase de imposição do CVE-2022-38023.
Configurações da Chave do Registro
Depois que as atualizações do Windows datadas de 08 de novembro de 2022 ou posteriores forem instaladas, a seguinte chave do registro estará disponível para o protocolo Netlogon nos controladores de domínio do Windows.
IMPORTANTE Essa atualização, bem como futuras alterações de imposição, não adicionam nem removem automaticamente a subchave do Registro “RequireSeal”. Essa subchave do registro deve ser adicionada manualmente para que seja lida. Consulte Alteração 3.
Subchave RequireSeal
Chave do Registro |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters |
Valor |
RequireSeal |
Tipo de dados |
REG_DWORD |
Dados |
0 – Desabilitado 1 – Modo de compatibilidade. Os controladores de domínio do Windows exigirão que os clientes Netlogon usem o selo RPC se estiverem executando o Windows ou se estiverem atuando como controladores de domínio ou como contas de confiança. 2 – Modo de imposição. Todos os clientes são necessários para usar o Selo RPC. Consulte Alteração 2. |
Reinicialização necessária? |
Não |
Eventos do Windows relacionados ao CVE-2022-38023
OBSERVAÇÃO Os eventos a seguir têm um buffer de 1 hora no qual eventos duplicados que contêm as mesmas informações são descartados durante esse buffer.
Log de eventos |
Sistema |
Tipo de Evento |
Erro |
Origem do evento |
NETLOGON |
ID do Evento |
5838 |
Texto do Evento |
O serviço Netlogon encontrou um cliente usando a assinatura RPC em vez da vedação RPC. |
Se você encontrar essa mensagem de erro nos seus logs de eventos, deverá executar as seguintes ações para resolver o erro do sistema:
-
Confirme se o dispositivo está executando uma versão com o suporte do Windows.
-
Verifique se todos os dispositivos estão atualizados.
-
Verifique se o Membro do domínio: Membro do domínio Criptografar digitalmente ou assinar dados do canal seguro (sempre) está definido como Habilitado .
Log de eventos |
Sistema |
Tipo de Evento |
Erro |
Origem do evento |
NETLOGON |
ID do Evento |
5839 |
Texto do Evento |
O serviço Netlogon encontrou uma confiança usando a assinatura do RPC em vez da vedação RPC. |
Log de eventos |
Sistema |
Tipo de Evento |
Aviso |
Origem do evento |
NETLOGON |
ID do Evento |
5840 |
Texto do Evento |
O serviço Netlogon criou um canal seguro com um cliente com RC4. |
Se você encontrar o Evento 5840, é um sinal de que um cliente no seu domínio está usando criptografia fraca.
Log de eventos |
Sistema |
Tipo de Evento |
Erro |
Origem do evento |
NETLOGON |
ID do Evento |
5841 |
Texto do Evento |
O serviço Netlogon negou um cliente usando o RC4 por causa da configuração 'RejectMd5Clients'. |
Se você encontrar o Evento 5841, é um sinal de que o valor RejectMD5Clients será definido como VERDADEIRO .
RejectMD5Clients do Modelo de Dados Abstrato.
A RejectMD5Clients é uma chave pré-existente no serviço Netlogon. Para obter mais informações, consulte a descriçãoPerguntas frequentes
Todas as contas de computador ingressadas no domínio são afetadas por essa CVE. Os eventos mostrarão quem é mais afetado por esse problema depois que as atualizações do Windows de 08 de novembro de 2022 ou posteriores forem instaladas, examine a seção Erros do Log de Eventos para resolver os problemas.
Para ajudar a detectar clientes mais antigos que não estejam usando a criptografia mais forte disponível, esta atualização apresenta logs de eventos para clientes que estão usando o RC4.
A assinatura do RPC é quando o protocolo Netlogon usa o RPC para assinar as mensagens enviadas por fio. A vedação RPC é quando o protocolo Netlogon assina e criptografa as mensagens enviadas por fio.
O Controlador de Domínio do Windows determina se um cliente Netlogon está executando o Windows consultando o atributo “OperatingSystem” no Active Directory para o cliente Netlogon e verificando as seguintes cadeias de caracteres:
-
“Windows”, “Hyper-V Server”, e “Azure Stack HCI”
Não recomendamos nem oferecemos suporte para que esse atributo seja alterado por clientes Netlogon ou administradores de domínio para um valor que não seja representativo do sistema operacional (SO) que o cliente Netlogon está executando. Você deve estar ciente de que podemos alterar os critérios de pesquisa a qualquer momento. Consulte Alteração 3.
A fase de imposição não rejeita clientes Netlogon com base no tipo de criptografia que os clientes usam. Ele rejeitará somente clientes Netlogon se eles fizerem assinatura RPC em vez de Vedação RPC. A rejeição de clientes de logon de rede RC4 baseia-se na chave do Registro “RejectMd5Clients” disponível para o Windows Server 2008 R2 e Controladores de Domínio do Windows posteriores. A fase de imposição desta atualização não altera o valor "RejectMd5Clients". Recomendamos que os clientes habilitem o valor "RejectMd5Clients" para maior segurança em seus domínios. Consulte Alteração 3.
Glossário
O Padrão Avançado de Criptografia (AES) é uma cifra de bloco que substitui o Padrão de Criptografia de Dados (DES). O AES pode ser usado para proteger dados eletrônicos. O algoritmo do AES pode ser usado para criptografar (cercar) e descriptografar informações (decifrar). A criptografia converte dados em uma forma não qualificada chamada de texto cifrado; descriptografar o texto cifrado converte os dados de volta à sua forma original, chamada de texto não criptografado. O AES é usado na criptografia de chave simétrica, o que significa que a mesma chave é usada para as operações de criptografia e descriptografia. Também é uma criptografia de bloco, o que significa que opera em blocos de tamanho fixo de texto não criptografado e texto cifrado e exige que o tamanho do texto não criptografado, assim como o texto cifrado, seja um múltiplo exato desse tamanho de bloco. O AES também é conhecido como o algoritmo de criptografia simétrica Rijndael [FIPS197] .
Em um ambiente de segurança de rede compatível com o sistema operacional do Windows NT, o componente responsável pelas funções de sincronização e manutenção entre um controlador de domínio primário (PDC)e os controladores de domínio de backup (BDC). Netlogon é um precursor do protocolo servidor de replicação de diretório (DRS). A interface Protocolo Remoto Netlogon chamada de procedimento remoto (RPC) é usada principalmente para manter a relação entre um dispositivo e seu domínio , e relações entre controladores de domínio (DCs) e domínios. Para obter mais informações, consulte Protocolo Remoto Netlogon.
RC4-HMAC (RC4) é um algoritmo de criptografia simétrica de comprimento de chave variável. Para obter mais informações, consulte [SCHNEIER] seção 17.1.
Uma conexão autenticada chamada de procedimento remoto (RPC) entre dois computadores em um domínio com um contexto de segurança estabelecido usado para assinar e criptografar pacotes RPC.