Der findes en sårbarhed i forbindelse med Netlogon RPC-rettighedsstigning i alle versioner af Windows, som ikke har modtaget sikkerhedsopdateringerne fra 8. november 2022. Fra Microsoft:
| Windows-opdateringerne fra den 8. november 2022 og senere adresserer grænsen i Netlogon-protokollen, når RPC-signering bruges i stedet for RPC-forsegling. Du kan finde flere oplysninger i CVE-2022-38023.
Netlogon Remote Protocol Remote Procedure Call-grænsefladen (RPC) bruges primært til at opretholde relationen mellem en enhed og dens domæne og forhold mellem domænecontrollere (DC'er) og domæner.
Denne opdatering beskytter Windows-enheder fra CVE-2022-38023 som standard. For tredjepartsklienter og tredjepartsdomænecontrollere er opdateringen i kompatibilitetstilstand som standard og giver mulighed for sårbare forbindelser fra sådanne klienter. [...]
Vigtigt fra og med juni 2023 aktiveres gennemtvingelsestilstand på alle Windows-domænecontrollere og blokerer sårbare forbindelser fra ikke-kompatible enheder. På det tidspunkt vil du ikke være i stand til at deaktivere opdateringen, men kan gå tilbage til indstillingen kompatibilitetstilstand. Kompatibilitetstilstand vil blive fjernet i juli 2023[.] [1] |
For ethvert Windows-domæne, som har modtaget sikkerhedsopdateringen den 11. april 2023, udsender Microsoft meddelelser til domænecontrollerens hændelseslog, der angiver, at et system opretter forbindelse til domænet på en usikker måde. Et Dell Unity-system, der kører mindst version 5.0.6, men mindre end version 5.1.0, der opretter forbindelse til domænet, genererer fejl 5838 i hændelsesloggen:
| Hændelseslog |
System |
| Hændelsestype |
Fejl |
| Hændelseskilde |
NETLOGON |
| Hændelses-id |
5838 |
| Hændelsestekst |
Netlogon-tjenesten registrerede en klient, der bruger RPC-signering i stedet for RPC-forsegling. |
Denne meddelelse har til formål at advare administratorer om, at et system i sidste ende vil blive blokeret af en fremtidig sikkerhedsopdatering.
Den 13. juni 2023 sender Microsoft en anden sikkerhedsopdatering, som aktiverer gennemtvingelsestilstand på alle tredjepartsdomænetilsluttede systemer og blokerer forbindelser fra alle enheder, der ikke understøtter RPC-forsegling. Selvom administratorer ikke kan fjerne begrænsningen, kan de flytte disse tredjepartssystemer tilbage til kompatibilitetstilstand.
Muligheden for at placere domæner i kompatibilitetstilstand vil blive fjernet af en efterfølgende sikkerhedsopdatering den 11. juli 2023.
Lave:
Fra og med Unity Operating Environment (OE) version 5.1.0 og højere understøtter Dell fuld RPC-forsegling som krævet af Microsoft. Version 5.1.0 blev udgivet den 21. juni 2021. Opgrader til Unity OE-version 5.1.0 eller højere for at løse problemet.
Løsning:
- Når gennemtvingelsestilstand er aktiveret i juni 2023, kan administratorer flytte deres tredjepartsforbindelser tilbage til kompatibilitetstilstand for at understøtte Unity-systemer, som ikke er blevet opgraderet til 5.1.0 eller nyere.
- Når kompatibilitetstilstanden fjernes i juli 2023, er der ingen yderligere løsning tilgængelig. Administratorer skal følge ovenstående programrettelse for at genetablere kommunikationen med Dell Unity-systemer.