PowerScale. Уязвимость Netlogon RPC, повышающая привилегии (CVE-2022-38023)

PowerScale OneFS использует Netlogon в качестве защищенного канала для связи с Active Directory. В этой статье представлена информация о влиянии CVE-2022-38023 на PowerScale OneFS.

Вот объявление об уязвимости безопасности Майкрософт для CVE-2022-38023, уязвимость

Netlogon RPC, повышающая привилегии8 ноября 2022 г., корпорация Майкрософт выпустила обновление, в котором представлен следующий раздел системного реестра:  

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

Имеет три значения:

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

PowerScale OneFS по умолчанию подписывает и запечатывает защищенное подключение по каналу Netlogon Требование запечатывания Netlogon из-за CVE-2022-38023 не влияет на PowerScale OneFS.

В средстве просмотра событий Windows контроллеров домена могут отображаться следующие события:

Новое событие с идентификатором 5840 создается с клиентами PowerScale под управлением OneFS версии 9.4.x и более ранних версий, которые по умолчанию используют RC4 для защищенного канала NTLM Netlogon.

Новое событие с идентификатором 5840 не создается на клиентах PowerScale OneFS версии 9.5.0 и более поздних. PowerScale OneFS 9.5.0 использует шифрование AES для NTLM Netlogon.

Эти обновления Windows от Microsoft для устранения CVE-2022-38023 не влияют на работу клиентов PowerScale OneFS, работающих под управлением любой поддерживаемой версии, начиная с 7.x.

Чтобы воспользоваться преимуществами шифрования AES для защищенного канала NTLM Netlogon в OneFS, выполните модернизацию до PowerScale OneFS версии 9.5.0 или более поздней.

Поддержка шифрования AES для NTLM Netlogon Secure Channel не переносится в PowerScale OneFS версии 9.4.x и более ранних версий.

Связанные ресурсы
Ниже приведены рекомендуемые ресурсы по данной теме, которые могут представлять интерес.

• Статья Dell 152189, Информационные центры PowerScale OneFS
• Статья Dell 184794, Текущие исправления PowerScale OneFS
• Статья Dell 63022, PowerScale: OneFS. передовые практики для настроек клиента NFS

Следующее значение реестра не применяется по умолчаниюи не вызывает никаких сбоев проверки подлинности, если оно не включено намеренно:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

Если значение намеренно установлено равным TRUE (1 ), это приводит к сбоям проверки подлинности NTLM в OneFS версии 9.4.x и более ранних версиях.

Проверьте настройку, выполнив следующую команду PowerShell:

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

Пример выходных данных о том, что она включена:

Для OneFS 9.4 и более ранних версий, а также если RejectMd5Clients enabled, в /var/log/lsassd.log отображаются аналогичные ошибки для неудачной проверки подлинности NTLM:

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295