メイン コンテンツに進む
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。

PowerScale:Isilon:Netlogon RPCの特権昇格の脆弱性(CVE-2022-38023)

概要: CVE-2022-38023にはNetlogonシーリングが必要ですが、PowerScaleクライアントには影響しません。

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容


現象

OneFSは、Active Directoryと通信するための安全なチャネルとしてNetlogonを使用します。この記事では、CVE-2022-38023がOneFSに与える影響について説明します。

CVE-2022-38023 (Netlogon RPC 特権昇格の脆弱性) に関する Microsoft セキュリティの脆弱性の発表は、次の場所で入手できます https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-38023
このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

Microsoftは、2022年11月8日に、次のシステム レジストリー キーを導入する更新プログラムをリリースしました。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

これには 3 つの値があります。

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

OneFSはデフォルトでNetlogonセキュア チャネル接続に署名して封印します CVE-2022-38023のためにNetlogon封印を要求し ても、 OneFSには影響しません。

ドメイン コントローラーのWindowsイベント ビューアーに、次のイベントが記録されている場合があります。
 

イベントID 5840 
イベントテキスト  Netlogon サービスは、RC4 を使用してクライアントとのセキュリティで保護されたチャネルを作成しました。 
 

新しいイベントID 5840は、NTLM/Netlogonセキュア チャネルにデフォルトでRC4を使用するOneFSリリース9.4.x以前を実行しているPowerScaleクライアントで作成されます。

OneFSリリース9.5.0以降を実行しているPowerScaleクライアントでは、新しいイベントID 5840は作成されません。OneFS 9.5.0は、NTLM/NetlogonにAES暗号化を使用します。

原因

Microsoft は、Netlogon 通信の封印を要求するための段階的なアプローチを導入しました。

解決方法

CVE-2022-38023に対処するためのMicrosoftによるWindowsに対するこれらのアップデートは、7.x以降のサポート対象のOneFSリリースを実行しているPowerScaleクライアントには機能的な影響 はありません

OneFSでNTLM/Netlogon Secure ChannelのAES暗号化を利用するには、リリース9.5.0以降にアップグレードします。

NTLM/Netlogonセキュア チャネルのAES暗号化のサポートは、OneFSリリース9.4.x以前にはバックポートされていません。


関連リソース
ここでは、このトピックに関連した、興味があると思われる推奨リソースをいくつか紹介します。

その他の情報

次のレジストリ値:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

デフォルトでは適用されず、意図的に有効にしない限り、認証エラーは発生しません。
値を意図的にTRUE(1)に設定すると、OneFSリリース9.4.x以前でNTLM認証が失敗します。

次のPowerShellコマンドを実行して、設定を確認できます。
 

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients


有効になっている場合の出力例:上記のコマンドの出力が有効になります

OneFS 9.4以前で、RejectMd5Clients値が有効になっている場合は、NTLM認証に失敗した場合、/var/log/lsassd.logに次のようなエラーが表示されます。
 

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295

 

文書のプロパティ


影響を受ける製品

Isilon

最後に公開された日付

26 1月 2024

バージョン

6

文書の種類

Solution