PowerScale: Netlogon RPC 권한 상승 취약성(CVE-2022-38023)

PowerScale OneFS는 Netlogon을 Active Directory와 통신하는 보안 채널로 사용합니다. 이 문서에서는 CVE-2022-38023이 PowerScale OneFS에 미치는 영향에 대한 몇 가지 정보를 제공합니다.

다음은 CVE-2022-38023, Netlogon RPC 권한 상승 취약성  

에 대한 Microsoft 보안 취약성 공지입니다. Microsoft는 2022년 11월 8일에 다음 시스템 레지스트리 키를 도입한 업데이트를 릴리스했습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

여기에는 세 가지 값이 있습니다.

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

PowerScale OneFS는 기본적으로 Netlogon 보안 채널 연결을 서명하고 봉인합니다. CVE-2022-38023으로 인해 Netlogon 봉인이 필요해도 PowerScale OneFS에는 영향을 주지 않습니다 .

도메인 컨트롤러의 Windows 이벤트 뷰어에 기록된 다음 이벤트를 볼 수 있습니다.

새 이벤트 ID 5840 은 기본적으로 NTLM Netlogon 보안 채널에 RC4를 사용하는 OneFS 릴리스 9.4.x 이하를 실행하는 PowerScale 클라이언트에서 생성됩니다.

릴리스 9.5.0 이상을 실행하는 PowerScale OneFS 클라이언트에서는 새 이벤트 ID 5840이 생성 되지 않습니다 . PowerScale OneFS 9.5.0은 NTLM Netlogon에 AES 암호화를 사용합니다.

Microsoft가 CVE-2022-38023을 해결하기 위해 Windows에 설치한 이러한 업데이트는 7.x 이후 지원되는 릴리스를 실행하는 PowerScale OneFS 클라이언트의 기능에는 영향을 미치지 않습니다 .

OneFS에서 NTLM Netlogon 보안 채널에 AES 암호화를 활용하려면 PowerScale OneFS 릴리스 9.5.0 이상으로 업그레이드하십시오.

NTLM Netlogon 보안 채널에 대한 AES 암호화 지원이 PowerScale OneFS 릴리스 9.4.x 이하로 백포트되지 않습니다.

관련 자료
다음은 이 주제와 관련하여 관심을 가질만한 권장 리소스입니다.

• Dell 문서 152189, PowerScale OneFS 정보 허브
• Dell 문서 184794, PowerScale OneFS Current Patches
• Dell 문서 63022, PowerScale: OneFS: NFS 클라이언트 설정 모범 사례

다음 레지스트리 값은 기본적으로적용되지 않으며 의도적으로 활성화하지 않는 한 인증 실패를 일으키지 않습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

값을 의도적으로 TRUE(1)로 설정하면 OneFS 릴리스 9.4.x 이하에서 NTLM 인증이 실패합니다.

다음 PowerShell 명령을 실행하여 설정을 확인합니다.

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

활성화되는 출력 예:

OneFS 9.4 이전 버전 및 RejectMd5Clients 값이 활성화되면 실패한 NTLM 인증에 대해 /var/log/lsassd.log에 유사한 오류가 표시됩니다.

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295