Vánoční kombo záplat pro administrátory AD DS a Exchange

Blog

 
 Jan Žák

Kdo by neměl rád články a balíčky, se kterými si lze hrát déle než jeden večer. Dnes bychom rádi upozornili na ty nejpozoruhodnější: KB5008102, KB5008380, KB5008382, KB5008383 a bonusové KB5007186 a KB5007409. Bohužel to nebude příjemné čtení.

Balíček #1: KB5008102 — Active Directory Security Accounts Manager hardening changes (CVE-2021-42278)

S využitím podvrženého sAMAccountName jména se útočník může vydávat za řadič domény. Po instalaci aktualizace budou prováděny během autentizace dodatečné kontroly atributů.

Balíček #2: KB5008380 — Authentication updates (CVE-2021-42287)

Aktualizace také upravuje způsob autentizace tak, aby KDC nevystavoval tikety se zvýšenými oprávněními pro kompromitované účty. Autentizační proces nově do TGT přidává informace o původním žadateli, a při vystavování následných servisních tiketů je prováděna křížová kontrola.

Aktualizace je rozdělena na tři části:

  • 9.listopad 2021: Uvolnění aktualizace a přidání nové hodnoty PacRequestorEnforcementv registrech
  • 12.duben 2022: Deaktivace funkcionality PacRequestorEnforcement
  • 12.červenec 2022: Nucené zapnutí nového režimu, odebrání PacRequestorEnforcement z registru

Důležité je předem si ověřit, zda nový způsob ověřování negativně neovlivní stávající prostředí (sledováním událostí v logu během prvních fází). Pokud během enforcement režimu v prostředí objeví kombinace aktualizovaných a neaktualizovaných řadičů domény, nebudou vzájemně kompatibilní.

Balíček #3: B5008382 — Verification of uniqueness for user principal name, service principal name, and the service principal name alias (CVE-2021-42282)

Aktualizace vynucuje striktnější pravidla pro unikátnost atributů UPN a SPN aliasů.

Balíček #4: KB5008383 — Active Directory permissions updates (CVE-2021-42291)

Další „rozfázovaná“ aktualizace zabraňující neoprávněnému nastavování citlivých atributů pro objekty v AD:

  • 9.listopad 2021: Uvolnění aktualizace a přidání podpory režimů pro dSHeuristics
  • 12.duben 2022: vynucení enforcement režimu

Opět nás tedy čeká kontrola logů a případné změny, pokud v prostředí narazíme na potenciálně problematickou službu.

Bonusový balíček: KB5008383 – Servicing stack update pro Windows 10

Před instalací ověřte potenciální problémy s tiskem, které jsou popsány v seznamu známých problémů.

Bonusový balíček: KB5007409 pro Microsoft Exchange Server 2019, 2016 a 2013

Mimo jiné je zahrnuta oprava zranitelnosti CVE-2021-42321, která umožňuje útočníkovi vzdálené spuštění kódu na serveru pod libovolným účtem. Zranitelnost je již aktivně zneužívána a jedná se bohužel o velmi nepříjemnou chybu.

Sdílej v médiích

Kontakt

Nenašli jste, co hledáte? Pošlete nám zprávu a zůstaneme s vámi ve spojení.

* Vyžadované pole

Osobní data použijeme pouze pro vypracování odpovědi na dotaz. Pravidla zpracování osobních údajů

map us
map eu