SU530: [Impact Critical] NTLM authentication fails due to enforcement of Netlogon RPC sealing (Microsoft CVE-2022-38023)
最近NetApp 公布了SU530风险公告,微软为了解决Windows Netlogon RPC 代码中的一个漏洞(详情见CVE-2022-38023),要求对Windows 域控制器采用新的更高等级的Netlogon 安全。Windows 中的这个漏洞只适用于使用NTLM/Netlogon 的域身份认证。通过Kerberos 或FIPS 的认证不受这个漏洞的影响,也不受微软为解决CVE-2022-38023 而发布补丁的影响。
在定期安排的每月 Windows 更新活动期间,这个新的Netlogon 安全级别正在微软域控制器上以分阶段的方式启用。
2022 年 11 月 8 日 – 初始部署阶段
2023 年 4 月 11 日 – 初始强制执行阶段
2023 年 6 月 13 日 – 默认强制执行
2023 年 7 月 11 日 – 强制执行阶段
风险影响
一旦强制执行阶段生效(2023年7月11日之后),基于ONTAP 的SVM就无法使用Workaround解决方法通过Netlogon/NTLM向Microsoft域控制器进行身份认证。所有使用Netlogon/NTLM向Microsoft域控制器进行身份认证的ONTAP系统必须在2023年7月11日之前升级到具有此增强功能的ONTAP版本之一(或更高版本),以便继续使用Netlogon/NTLM进行域身份认证。
在使用Netlogon/NTLM向Microsoft域控制器进行身份认证的环境中,如果没有及时升级ONTAP版本,一旦安装了2023年7月11日的Windows更新,将会导致CIFS数据服务中断。
以下 ONTAP 版本中引入了此增强功能:
• 9.7P22 (published April 11, 2023)
o Cloud Volumes ONTAP version here
• 9.8P18 (published April 19, 2023)
o Cloud Volumes ONTAP version here
• 9.9.1P15 (published April 7, 2023)
o Cloud Volumes ONTAP version here
• 9.10.1P12 (published April 25, 2023)
o Cloud Volumes ONTAP version here
• 9.11.1P8 (published April 28, 2023)
o Cloud Volumes ONTAP version here
• 9.12.1P2 (published April 10, 2023)
o Cloud Volumes ONTAP version here
• 9.13.0P1 (Published April 12, 2023 as a Cloud Volumes ONTAP specific release)
• 9.13.1RC1 (published May 4, 2023)
问题描述
微软正在努力为Windows 中的CVE-2022-38023 变化制定一个分阶段实施计划。截至2023 年4 月5 日,该计划如下(基于信息 KB5021130: 如何管理与 CVE-2022-38023 相关的 Netlogon 协议更改)。由于这个计划可能会进一步改变–请参考微软的文章以确认或更新。
2022 年 11 月 8 日 – 初始部署阶段
初始部署阶段始于 2022 年 11 月 8 日发布的更新,然后继续进行后续 Windows 更新,直到强制执行阶段。 2022 年 11 月 8 日或之后的 Windows 更新将通过在所有 Windows 客户端上强制执行 RPC 密封来解决 CVE-2022-38023 安全绕过漏洞。
默认情况下,设备将设置为兼容性模式。 如果 Netlogon 客户端运行的是 Windows,或者充当域控制器或信任帐户,Windows 域控制器将要求其使用 RPC 密封。
在此阶段,对基于ONTAP 的存储虚拟机(SVM)使用NTLM/Netlogon 认证没有影响。
2023 年 4 月 11 日 – 初始强制执行阶段
2023 年 4 月 11 日或之后发布的 Windows 更新将通过将值 0 设置为 RequireSeal 注册表子项来删除禁用 RPC 密封的功能。
在此阶段,对ONTAP 存储虚拟机(SVM)使用NTLM/Netlogon 认证没有影响。
2023 年 6 月 13 日 – 默认强制执行阶段
RequireSeal 注册表子项将迁移至强制模式,除非管理员明确将其配置为兼容性模式。 来自所有客户端,包括第三方(这包括使用NTLM/Netlogon 认证的基于ONTAP 的SVM)的易受攻击连接将被拒绝身份验证。关于如何配置”兼容模式”,请参见下面的”Workaround解决方法”部分。
在此阶段,在运行下面 “解决方案”部分中具有此增强功能的ONTAP版本之一(或更高版本)系统上的ONTAP SVM不会受到影响。
2023 年 7 月 11 日 – 强制执行阶段
2023 年 7 月 11 日发布的 Windows 更新将删除将值 1 设置为 RequireSeal 注册表子项的功能。 这将启用 CVE-2022-38023 的强制执行阶段。
在此阶段,在运行下面 “解决方案”部分中具有此增强功能的ONTAP版本之一(或更高版本)系统上的ONTAP SVM不会受到影响。
注意:Netlogon 协议(NTLMv1 和NTLMv2)的所有域使用都受到这些更改的影响。
故障现象
一旦在Windows 域控制器上启用Netlogon RPC Sealing,当基于ONTAP 的SVM 试图通过Netlogon 传递NTLM 认证信息时,Windows 域控制器将返回” Access Denied”。
当这种情况发生时,ONTAP 将在EMS 事件日志中报告故障,如:
secd.cifsAuth.problem 和FAILURE: Pass-through authentication failed. (NT Status: NT_STATUS_NO_LOGON_SERVERS(0xc000005e))
Windows 域控制器可能记录事件ID: 5838(下面的例子)
Log Name: System
Source: NETLOGON
Date: 2/22/2023 3:17:28 PM
Event ID: 5838
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: dc1.demo.netapp.local
Description:
The Netlogon service encountered a client using RPC signing instead of RPC sealing.
Machine SamAccountName: CIFSSERVERNAME
Workaround解决方法
请务必先与LenovoNetApp或NetApp技术支持中心联系以获得帮助。
在微软默认强制执行阶段之前或期间,创建
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal
注册表键,并在所有的Windows 域控制器上将其值设置为1。
这将启用”兼容模式”。更多信息请参见如何管理与CVE-2022-38023 有关的Netlogon 协议变化。
在最后的微软强制执行阶段时,没有workaround解决方法。上述”兼容模式”注册表更改在最后强制执行阶段将不起作用,必须运行下面“解决方案”部分中具有此增强功能的ONTAP版本之一(或更高版本),基于域的Netlogon 认证才能使用。
解决方案
升级到具有此增强功能的ONTAP 版本,以支持微软要求使用Netlogon RPC sealing,详见CVE-2022-38023。
以下 ONTAP 版本中引入了此增强功能:
• 9.7P22 (published April 11, 2023)
o Cloud Volumes ONTAP version here
• 9.8P18 (published April 19, 2023)
o Cloud Volumes ONTAP version here
• 9.9.1P15 (published April 7, 2023)
o Cloud Volumes ONTAP version here
• 9.10.1P12 (published April 25, 2023)
o Cloud Volumes ONTAP version here
• 9.11.1P8 (published April 28, 2023)
o Cloud Volumes ONTAP version here
• 9.12.1P2 (published April 10, 2023)
o Cloud Volumes ONTAP version here
• 9.13.0P1 (Published April 12, 2023 as a Cloud Volumes ONTAP specific release)
• 9.13.1RC1 (published May 4, 2023)
附加信息
要确定CIFS 客户端使用的是哪种认证机制,请使用以下命令:
netapp-01::> set diag
netapp-01::*> vserver cifs session show -vserver -fields auth-mechanism,address,windows-user
任何具有NTLMv1 或NTLMv2 的授权机制的条目都容易受到影响。
紧急程度
严重
相关信息
有关此问题的详细情况,请参阅下述支持公告。
https://kb.netapp.com/Support_Bulletins/Customer_Bulletins/SU530
2 条评论
影响有这么大吗? 1
影响有这么大吗? 2