Registo de alterações
Alteração 1: 19 de junho de 2023:
|
Neste artigo
Resumo
As atualizações do Windows lançadas em ou depois de 8 de novembro de 2022 abordam o bypass de segurança e a elevação da vulnerabilidade de privilégios com a Negociação de Autenticação através da fraca negociação RC4-HMAC.
Esta atualização irá definir a AES como o tipo de encriptação predefinido para chaves de sessão em contas que ainda não estão marcadas com um tipo de encriptação predefinido.
Para ajudar a proteger o seu ambiente, instale as atualizações do Windows lançadas a 8 de novembro de 2022 ou posteriores a todos os dispositivos, incluindo controladores de domínio. Consulte Alterar 1.
Para saber mais sobre estas vulnerabilidades, consulte CVE-2022-37966.
Detetar Explicitamente Definir Tipos de Encriptação de Chaves de Sessão
Pode ter definido explicitamente tipos de encriptação nas suas contas de utilizador vulneráveis ao CVE-2022-37966. Procure contas em que DES/RC4 esteja explicitamente ativado, mas não AES com a seguinte consulta do Active Directory:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Definições da Chave do Registo
Depois de instalar as atualizações do Windows datadas de ou depois de 8 de novembro de 2022, a seguinte chave de registo está disponível para o protocolo Kerberos:
DefaultDomainSupportedEncTypes
Chave do registo |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
Valor |
DefaultDomainSupportedEncTypes |
Tipo de dados |
REG_DWORD |
Valor de dados |
0x27 (Predefinição) |
É necessário reiniciar? |
Não |
Nota Se tiver de alterar o Tipo de Encriptação Suportado predefinido para um utilizador ou computador do Active Directory, adicione manualmente e configure a chave de registo para definir o novo Tipo de Encriptação Suportada. Esta atualização não adiciona automaticamente a chave de registo.
Os controladores de domínio do Windows utilizam este valor para determinar os tipos de encriptação suportados em contas no Active Directory cujo valor msds-SupportedEncryptionType está vazio ou não está definido. Um computador que esteja a executar uma versão suportada do sistema operativo Windows define automaticamente os msds-SupportedEncryptionTypes para essa conta de máquinas virtuais no Active Directory. Isto baseia-se no valor configurado dos tipos de encriptação que o protocolo Kerberos tem permissão para utilizar. Para obter mais informações, veja Segurança de rede: Configurar tipos de encriptação permitidos para Kerberos.
As contas de utilizador, contas de Serviço Gerido de Grupo e outras contas no Active Directory não têm o valor msds-SupportedEncryptionTypes definido automaticamente.
Para encontrar Tipos de Encriptação Suportados que pode definir manualmente, veja Sinalizadores de Bits de Tipos de Encriptação Suportados. Para obter mais informações, veja o que deve fazer primeiro para ajudar a preparar o ambiente e evitar problemas de autenticação Kerberos.
O valor predefinido 0x27 (DES, RC4, Chaves de Sessão AES) foi escolhido como a alteração mínima necessária para esta atualização de segurança. Recomendamos que os clientes definam o valor como 0x3C para maior segurança, uma vez que este valor permitirá permissões encriptadas por AES e chaves de sessão AES. Se os clientes tiverem seguido a nossa documentação de orientação para se deslocarem para um ambiente apenas AES em que o RC4 não é utilizado para o protocolo Kerberos, recomendamos que os clientes definam o valor para 0x38. Consulte Alterar 1.
Eventos do Windows relacionados com CVE-2022-37966
O Centro de Distribuição de Chaves Kerberos não tem chaves fortes para a conta
Registo de Eventos |
Sistema |
Tipo de Evento |
Erro |
Origem do Evento |
Kdcsvc |
ID de Evento |
42 |
Texto do Evento |
O Centro de Distribuição de Chaves Kerberos não tem chaves fortes para a conta: accountname. Tem de atualizar a palavra-passe desta conta para impedir a utilização de criptografia insegura. Consulte https://go.microsoft.com/fwlink/?linkid=2210019 para saber mais. |
Se encontrar este erro, é provável que tenha de repor a palavra-passe krbtgt antes de definir KrbtgtFullPacSingature = 3 ou instalar o Windows Atualizações lançado em ou depois de 11 de julho de 2023. A atualização que ativa programaticamente o modo de imposição para CVE-2022-37967 está documentada no seguinte artigo na Base de Dados de Conhecimento Microsoft:
KB5020805: Como gerir alterações ao protocolo Kerberos relacionadas com o CVE-2022-37967
Para obter mais informações sobre como fazê-lo, consulte o tópico New-KrbtgtKeys.ps1 no site do GitHub.
Perguntas Mais Frequentes (FAQ) e Problemas Conhecidos
As contas sinalizadas para utilização explícita de RC4 são vulneráveis. Além disso, os ambientes que não têm chaves de sessão AES na conta krbgt podem estar vulneráveis. Para mitigar este problema, siga a documentação de orientação sobre como identificar vulnerabilidades e utilizar a secção de definição Chave do Registo para atualizar explicitamente as predefinições de encriptação.
Terá de verificar se todos os seus dispositivos têm um tipo de Encriptação Kerberos comum. Para obter mais informações sobre os tipos de Encriptação Kerberos, veja Desencriptar a Seleção de Tipos de Encriptação Kerberos Suportados.
Os ambientes sem um tipo de Encriptação Kerberos comum podem ter sido anteriormente funcionais devido à adição automática de RC4 ou pela adição de AES, se o RC4 tiver sido desativado através da política de grupo por controladores de domínio. Este comportamento foi alterado com as atualizações lançadas em ou depois de 8 de novembro de 2022 e agora seguirá estritamente o que está definido nas chaves de registo, msds-SupportedEncryptionTypes e DefaultDomainSupportedEncTypes.
Se a conta não tiver msds-SupportedEncryptionTypes definido ou estiver definido como 0, os controladores de domínio assumem um valor predefinido de 0x27 (39) ou o controlador de domínio utilizará a definição na chave de registo DefaultDomainSupportedEncTypes.
Se a conta tiver msds-SupportedEncryptionTypes definido, esta definição é honrada e pode expor uma falha ao ter configurado um tipo de Encriptação Kerberos comum mascarado pelo comportamento anterior de adicionar automaticamente RC4 ou AES, que já não é o comportamento após a instalação de atualizações lançadas a 8 de novembro de 2022.
Para obter informações sobre como verificar se tem um tipo de Encriptação Kerberos comum, consulte a pergunta Como posso verificar se todos os meus dispositivos têm um tipo de Encriptação Kerberos comum?
Veja a pergunta anterior para obter mais informações sobre o motivo pelo qual os seus dispositivos podem não ter um tipo de Encriptação Kerberos comum após a instalação das atualizações lançadas a 8 de novembro de 2022 ou depois de 8 de novembro de 2022.
Se já tiver instalado atualizações lançadas a 8 de novembro de 2022 ou depois de 8 de novembro de 2022, pode detetar dispositivos que não tenham um tipo de Encriptação Kerberos comum ao procurar no Registo de Eventos do Microsoft-Windows-Kerberos-Key-Distribution-Center Evento 27, que identifica tipos de encriptação não contíguos entre clientes Kerberos e servidores ou serviços remotos.
A instalação de atualizações lançadas em ou depois de 8 de novembro de 2022 em clientes ou servidores de função não Controlador de Domínio não deve afetar a autenticação Kerberos no seu ambiente.
Para mitigar este problema conhecido, abra uma janela da Linha de Comandos como Administrador e utilize temporariamente o seguinte comando para definir a chave de registo KrbtgtFullPacSignature como 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Nota Assim que este problema conhecido for resolvido, deve definir KrbtgtFullPacSignature para uma definição mais elevada, dependendo do que o seu ambiente permitir. Recomendamos que o Modo de imposição esteja ativado assim que o seu ambiente estiver pronto.
Passos seguintesEstamos a trabalhar numa resolução e forneceremos uma atualização numa versão futura.
Após a instalação das atualizações lançadas a 8 de novembro de 2022 nos controladores de domínio, todos os dispositivos têm de suportar a assinatura de pedidos AES, conforme necessário para estarem em conformidade com a proteção de segurança necessária para o CVE-2022-37967.
Passos Seguintes Se já estiver a executar o software e firmware mais atualizados para os seus dispositivos não Windows e tiver verificado que existe um tipo de Encriptação comum disponível entre os controladores de domínio do Windows e os seus dispositivos não Windows, terá de contactar o fabricante do dispositivo (OEM) para obter ajuda ou substituir os dispositivos por dispositivos que estejam em conformidade.
IMPORTANTE Não recomendamos a utilização de qualquer solução para permitir a autenticação de dispositivos não conformes, uma vez que isto pode tornar o seu ambiente vulnerável.
As versões não suportadas do Windows incluem o Windows XP, Windows Server 2003, Windows Server 2008 SP2 e Windows Server 2008 R2 SP1 não podem ser acedidos por dispositivos Windows atualizados, a menos que tenha uma licença ESU. Se tiver uma licença ESU, terá de instalar as atualizações lançadas a 8 de novembro de 2022 e verificar se a configuração tem um tipo de Encriptação comum disponível entre todos os dispositivos.
Passos Seguintes Instale atualizações, se estiverem disponíveis para a sua versão do Windows e tiver a licença ESU aplicável. Se as atualizações não estiverem disponíveis, terá de atualizar para uma versão suportada do Windows ou mover qualquer aplicação ou serviço para um dispositivo compatível.
IMPORTANTE Não recomendamos a utilização de qualquer solução para permitir a autenticação de dispositivos não conformes, uma vez que isto pode tornar o seu ambiente vulnerável.
Este problema conhecido foi resolvido nas atualizações fora de banda lançadas a 17 de novembro de 2022 e 18 de novembro de 2022 para instalação em todos os controladores de domínio no seu ambiente. Não precisa de instalar nenhuma atualização ou efetuar alterações a outros servidores ou dispositivos cliente no seu ambiente para resolver este problema. Se utilizou alguma solução ou mitigação para este problema, estas já não são necessárias e recomendamos que as remova.
Para obter o pacote autónomo para estas atualizações fora de banda, procure o número KB no Catálogo Microsoft Update. Pode importar manualmente estas atualizações para o Windows Server Update Services (WSUS) e o Microsoft Endpoint Configuration Manager. Para obter instruções sobre o WSUS, veja WSUS e o Site de Catálogo. Para obter instruções sobre o Configuration Manger, consulte Importar atualizações do Catálogo Microsoft Update.
Nota As seguintes atualizações não estão disponíveis no Windows Update e não serão instaladas automaticamente.
Atualizações cumulativas:
Nota Não precisa de aplicar nenhuma atualização anterior antes de instalar estas atualizações cumulativas. Se já instalou as atualizações lançadas a 8 de novembro de 2022, não precisa de desinstalar as atualizações afetadas antes de instalar quaisquer atualizações posteriores, incluindo as atualizações listadas acima.
Atualizações autónomo:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 SP1: KB5021651 (lançado a 18 de novembro de 2022)
-
Windows Server 2008 SP2: KB5021657
Notas
-
Se utilizar atualizações apenas de segurança para estas versões do Windows Server, só precisa de instalar estas atualizações autónomas para o mês de novembro de 2022. As atualizações apenas de segurança não são cumulativas e também terá de instalar todas as atualizações apenas de segurança anteriores para estarem totalmente atualizadas. As atualizações de Rollup Mensal são cumulativas e incluem atualizações de segurança e de qualidade.
-
Se utilizar atualizações de Rollup Mensal, terá de instalar as atualizações autónomas listadas acima para resolver este problema e instalar os Rollups Mensais lançados a 8 de novembro de 2022 para receber as atualizações de qualidade para novembro de 2022. Se já instalou as atualizações lançadas a 8 de novembro de 2022, não precisa de desinstalar as atualizações afetadas antes de instalar quaisquer atualizações posteriores, incluindo as atualizações listadas acima.
Se tiver verificado a configuração do seu ambiente e ainda estiver a ter problemas com qualquer implementação não Microsoft do Kerberos, precisará de atualizações ou suporte do programador ou fabricante da aplicação ou dispositivo.
Este problema conhecido pode ser mitigado ao efetuar um dos seguintes procedimentos:
-
Defina msds-SupportedEncryptionTypes com bit ou defina-o como o 0x27 predefinido atual para preservar o valor atual. Por exemplo:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Defina msds-SupportEncryptionTypes como 0 para permitir que os controladores de domínio utilizem o valor predefinido de 0x27.
Passos seguintesEstamos a trabalhar numa resolução e forneceremos uma atualização numa versão futura.
Glossário
A Norma de Encriptação Avançada (AES) é uma cifra de bloco que substitui a Norma de Encriptação de Dados (DES). A AES pode ser utilizada para proteger dados eletrónicos. O algoritmo AES pode ser utilizado para encriptar (encifra) e desencriptar (decifrar) informações. A encriptação converte dados num formulário ininteligível denominado cifratext; A desencriptação do texto cifra converte os dados novamente na sua forma original, denominada texto simples. A AES é utilizada na criptografia de chave simétrica, o que significa que a mesma chave é utilizada para as operações de encriptação e desencriptação. É também uma cifra de bloco, o que significa que opera em blocos de tamanho fixo de texto simples e cifratexto, e requer o tamanho do texto simples, bem como o texto cifrado para ser um múltiplo exato deste tamanho de bloco. O AES também é conhecido como o algoritmo de encriptação simétrica Rijndael [FIPS197].
O Kerberos é um protocolo de autenticação de rede de computador que funciona com base em "permissões" para permitir que os nós que comunicam através de uma rede provem a sua identidade uns aos outros de forma segura.
O serviço Kerberos que implementa os serviços de autenticação e concessão de pedidos especificados no protocolo Kerberos. O serviço é executado em computadores selecionados pelo administrador do domínio ou domínio; não está presente em todos os computadores na rede. Tem de ter acesso a uma base de dados de conta para o domínio que serve. Os KDCs estão integrados na função de controlador de domínio. É um serviço de rede que fornece permissões aos clientes para utilização na autenticação em serviços.
RC4-HMAC (RC4) é um algoritmo de encriptação simétrica de comprimento de chave variável. Para obter mais informações, consulte a secção [SCHNEIER] 17.1.
Uma chave simétrica de duração relativamente curta (uma chave criptográfica negociada pelo cliente e pelo servidor com base num segredo partilhado). O tempo de vida das chaves de sessão está vinculado pela sessão à qual está associada. Uma chave de sessão tem de ser forte o suficiente para resistir à criptanalização para o tempo de vida da sessão.
Um tipo especial de permissão que pode ser utilizado para obter outros bilhetes. A Permissão de Concessão de Permissão (TGT) é obtida após a autenticação inicial na troca do Serviço de Autenticação (AS). Posteriormente, os utilizadores não precisam de apresentar as respetivas credenciais, mas podem utilizar o TGT para obter pedidos de suporte subsequentes.