Уразливість привілеїв Netlogon RPC існує в усіх версіях Windows, які не отримали оновлень безпеки від 8 листопада 2022 року. Від корпорації Майкрософт:
| Оновлення Windows від 8 листопада 2022 р. та пізніші версії усувають слабкі місця в протоколі Netlogon, коли замість пломбування RPC використовується підпис RPC. Більше інформації можна знайти в CVE-2022-38023.
Інтерфейс віддаленого виклику процедур (RPC) протоколу Netlogon Remote Protocol в основному використовується для підтримки зв'язку між пристроєм і його доменом, а також відносин між контролерами домену (DC) і доменами.
Це оновлення захищає пристрої Windows від CVE-2022-38023 за замовчуванням. Для сторонніх клієнтів і сторонніх контролерів доменів оновлення за замовчуванням перебуває в режимі сумісності та дозволяє вразливі з'єднання від таких клієнтів. [...]
Важливо З червня 2023 року режим примусового виконання буде ввімкнено на всіх контролерах домену Windows і блокуватиме вразливі з'єднання з несумісними пристроями. У той час ви не зможете вимкнути оновлення, але можете повернутися до настройки режиму сумісності. Режим сумісності буде видалено в липні 2023 року[.] [1] |
Для будь-якого домену Windows, який отримав оновлення безпеки від 11 квітня 2023 року, корпорація Майкрософт публікує повідомлення в журналі подій контролера домену, що вказує на те, що система підключається до домену небезпечним способом. Система Dell Unity, яка працює принаймні версії 5.0.6, але менша за версію 5.1.0, яка підключається до домену, генерує помилку 5838 у журналі подій:
| Журнал подій |
Система |
| Тип події |
Помилка |
| Джерело події |
NETLOGON |
| Ідентифікатор події |
5838 |
| Текст події |
Служба Netlogon зіткнулася з клієнтом, який використовував підпис RPC замість пломбування RPC. |
Це повідомлення призначене для оповіщення адміністраторів про те, що систему в кінцевому підсумку буде заблоковано майбутнім оновленням системи безпеки.
13 червня 2023 року Microsoft надішле ще одне оновлення безпеки, яке ввімкне режим примусового виконання на всіх сторонніх системах, приєднаних до домену, і заблокує з'єднання з усіх пристроїв, які не підтримують герметизацію RPC. Хоча адміністратори не можуть зняти обмеження, вони можуть повернути системи сторонніх виробників до режиму сумісності.
Можливість розміщувати домени в режимі сумісності буде видалена наступним оновленням безпеки 11 липня 2023 року.
Виправити:
Починаючи з версії Unity Operating Environment (OE) 5.1.0 і вище, Dell повністю підтримує герметизацію RPC, як того вимагає Microsoft. Версія 5.1.0 була випущена 21 червня 2021 року. Оновіть Unity до версії оригінальних деталей 5.1.0 або новішої, щоб вирішити цю проблему.
Спосіб вирішення:
- Якщо режим примусового виконання ввімкнено в червні 2023 року, адміністратори можуть повернути свої сторонні підключення в режим сумісності, щоб підтримувати системи Unity, які не були оновлені до версії 5.1.0 або новішої.
- Коли режим сумісності буде видалено в липні 2023 року, подальший спосіб вирішення проблеми не буде доступним. Адміністратори повинні дотримуватися наведених вище виправлень, щоб відновити зв'язок із системами Dell Unity.