Dell Unity: Czy unity jest zagrożone przez CVE-2022-38023? (możliwość korekty z poziomu użytkownika)

Czy unity jest zagrożone przez CVE-2022-38023?

Luka w zabezpieczeniach Netlogon RPC z podwyższonym poziomem uprawnień istnieje we wszystkich wersjach systemu Windows, które nie otrzymały aktualizacji zabezpieczeń z 8 listopada 2022 r. Od firmy Microsoft:
 

Aktualizacje systemu Windows 8 listopada 2022 r. i nowsze odnoszą się do błędów w protokole Netlogon, gdy zamiast zapieczętowania RPC jest używane podpisywanie RPC. Więcej informacji można znaleźć w cve-2022-38023. Interfejs zdalnego wywołania procedury Protokołu zdalnego Netlogon (RPC) służy głównie do utrzymywania relacji między urządzeniem a domeną oraz relacji między kontrolerami domeny (DC) i domenami. Ta aktualizacja domyślnie chroni urządzenia z systemem Windows przed wersjami CVE-2022-38023. W przypadku klientów innych firm i kontrolerów domeny innych firm aktualizacja jest domyślnie w trybie zgodności i umożliwia połączenia z takimi klientami podatnymi na zagrożenia. [...] Ważne, począwszy od czerwca 2023 r., tryb egzekwowania będzie włączony na wszystkich kontrolerach domeny systemu Windows i będzie blokować podatne połączenia z niezgodnych urządzeń. W tym czasie nie będzie można wyłączyć aktualizacji, ale można wrócić do ustawienia trybu zgodności. Tryb zgodności zostanie usunięty w lipcu 2023 r. [.]  [1]

W przypadku każdej domeny Windows, która otrzymała aktualizację zabezpieczeń z 11 kwietnia 2023 r., firma Microsoft publikuje komunikaty do dziennika zdarzeń kontrolera domeny, wskazując na to, że system łączy się z domeną w sposób niezabezpieczony. System Dell Unity z co najmniej wersją 5.0.6, ale mniejszą niż wersja 5.1.0 łącząca się z domeną, generuje błąd 5838 w dzienniku zdarzeń:
 

Dziennik zdarzeń	System
Typ zdarzenia	Błąd
Źródło zdarzenia	NETLOGON
Identyfikator zdarzenia	5838
Tekst zdarzenia	W usłudze Netlogon wystąpił problem z klientem korzystającym z podpisywania RPC zamiast zapieczętowania RPC.

Ten komunikat ma na celu powiadomienie administratorów, że system zostanie ostatecznie zablokowany przez przyszłą aktualizację zabezpieczeń.  

13 czerwca 2023 r. firma Microsoft wyśle kolejną aktualizację zabezpieczeń, która włączy tryb egzekwowania dla wszystkich systemów przyłączonych do domeny innych firm i zablokuje połączenia ze wszystkich urządzeń, które nie obsługują zapieczętowania RPC. Choć administratorzy nie mogą usunąć tego ograniczenia, mogą przenieść systemy innych firm z powrotem w tryb zgodności. 

Możliwość umieszczenia domen w trybie zgodności zostanie usunięta kolejną aktualizacją zabezpieczeń 11 lipca 2023 r.

Naprawić:
W przypadku środowiska operacyjnego Unity (OE) w wersji 5.1.0 i nowszych firma Dell w pełni obsługuje uszczelnienie RPC zgodnie z wymaganiami firmy Microsoft. Wersja 5.1.0 została wydana 21 czerwca 2021 roku. Uaktualnij do Unity OE w wersji 5.1.0 lub nowszej, aby rozwiązać ten problem.

Obejście:

• Kiedy w czerwcu 2023 r. włączono tryb egzekwowania, administratorzy mogą przenieść połączenia innych firm z powrotem do trybu zgodności w celu obsługi systemów Unity, które nie zostały uaktualnione do wersji 5.1.0 lub nowszej.
• W przypadku wyłączenia trybu zgodności w lipcu 2023 r. nie będzie można obejść problemu. Administratorzy muszą postępować zgodnie z powyższą poprawką, aby ponownie nawiązać komunikację z systemami Dell Unity.