[English]Microsoft hat zum 24. Februar 2022 eine Revision der Sicherheitshinweise zur Windows-Schwachstelle CVE-2021-26414 veröffentlicht. Die Meldung hat nur informellen Charakter. Bei CVE-2021-26414 handelt es sich um die Windows DCOM Server Security Feature Bypass-Schwachstelle, die zum 8. Juni 2021 per Sicherheitsupdate adressiert wurde. Durch das Update wurde RPC_C_AUTHN_LEVEL_PKT_INTEGRITY auf DCOM-Clients standardmäßig aktiviert. Microsoft adressiert die Schwachstelle aber in einem gestuften Verfahren mit drei Phasen. Jetzt hat Microsoft die FAQ mit den geplanten Datumsangaben für die Phasen 2 und 3 überarbeitet.
Anzeige
Hier die Meldung Microsoft zur Revision des Sicherheits-Updates:
*********************************************************
Title: Microsoft Security Update Revisions
Issued: February 24, 2022
*********************************************************
Summary
=======
The following CVE has undergone a revision increment.
=========================================================
Anzeige
– CVE-2021-26414 | Windows DCOM Server Security Feature Bypass
– Version: 1.3
– Reason for Revision: Updated FAQs with revised planned dates for phases two
and three. This is an informational change only.
– Originally posted: June 8, 2021
– Updated: February 24, 2022
– Aggregate CVE Severity Rating: Important
Die Schwachstelle läuft unter dem Begriff Petitpotam und ermöglicht eine Domain-Übernahme durch einen Angreifer. Diese Sicherheitslücke erfordert, dass ein Benutzer mit einer betroffenen Windows-Version auf einen bösartigen Server zugreift. Ein Angreifer müsste eine speziell gestaltete Serverfreigabe oder Website hosten. Dann müsste der Angreifer den Benutzer zum Besuch dieser speziell gestalteten Serverfreigabe oder Website per E-Mail oder Chat-Nachricht verleiten.
Zur Schwachstelle CVE-2021-26414 hatte ich im September 2021 im Blog-Beitrag Windows-Schwachstelle CVE-2021-36942 (Petitpotam) und DCOM-Härtung etwas geschrieben. Die am 8. Juni 2021 veröffentlichten Sicherheitsupdates aktivieren standardmäßig RPC_C_AUTHN_LEVEL_PKT_INTEGRITY auf DCOM-Clients und bieten einen vollständigen Schutz, nachdem
RequireIntegrityActivationAuthenticationLevel = 1
manuell eingestellt wurde. Die Installation der am 8. Juni 2021 veröffentlichten Sicherheitsupdates ermöglicht clientseitigen Schutz in einer reinen Windows-Umgebung, bietet jedoch keinen Schutz in Umgebungen mit Nicht-Windows-DCOM-Clients. Microsoft plant diese Sicherheitslücke stufenweise zu beheben.
- 8. Juni 2021: Mit der Bereitstellung der Windows-Updates begann die erste Einführungsphase. Die Updates ermöglichen es den Kunden zu überprüfen, ob alle Client/Server-Anwendungen in ihrer Umgebung wie erwartet funktionieren, wenn die Härtungsänderungen aktiviert sind.
- 14. Juni 2022: Für dieses Datum ist die zweiten Phase geplant. Dann wird die Härtung auf DCOM-Servern standardmäßig programmatisch aktiviert. Das kann bei Bedarf über den Registrierungsschlüssel RequireIntegrityActivationAuthenticationLevel deaktiviert werden.
- 14. März 2023: In der dritten Phase wird die Härtung auf DCOM-Servern standardmäßig aktiviert und kann nicht mehr deaktiviert werden. Zu diesem Zeitpunkt müssen Sie alle Kompatibilitätsprobleme mit den Härtungsänderungen und den Anwendungen in Ihrer Umgebung beheben.
Microsoft gibt an, dass Unternehmen alle Interoperabilitätsprobleme zwischen Windows- und Nicht-Windows-Betriebssystemen und -Anwendungen vor der dritten Phase identifizieren und entschärfen müssen. Denn wenn die Härtung auf DCOM-Servern ab dem 14. März 2023 standardmäßig aktiviert, kann sie nicht mehr deaktiviert werden. Weitere Details lassen sich CVE-2021-26414 entnehmen.
Ähnliche Artikel
PetitPotam-Angriff erlaubt Windows Domain-Übernahme
Microsofts Workaround gegen Windows PetitPotam NTLM-Relay-Angriffe
PetitPotam-Angriffe auf Windows durch RPC-Filter blocken
0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)
2. 0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)
Windows-Schwachstelle CVE-2021-36942 (Petitpotam) und DCOM-Härtung
Anzeige
Hallo,
also man beachte die feinen Unterschiede die Microsoft da macht auf der CVE-Seite:
Seite auf deutsch:
>>
Die Installation der am 8. Juni 2021 veröffentlichten Sicherheitsupdates aktiviert den clientseitigen Schutz in einer reinen Windows-Umgebung, bietet jedoch keinen Schutz in Umgebungen mit einem Nicht-Windows-DCOM-Client. Organisationen müssen vor der dritten Phase, in der die Härtung auf DCOM-Servern standardmäßig aktiviert ist und nicht mehr deaktiviert werden kann, alle Interop-Probleme zwischen Windows und Nicht-Windows-Betriebssystemen und -Anwendungen ermitteln und beseitigen.
Wie will Microsoft diese Sicherheitsanfälligkeit beheben?
Microsoft behebt die Sicherheitsanfälligkeit in einem phasenweisen Rollout. Die erste Bereitstellungsphase beginnt mit den am 08. Juni 2021 veröffentlichten Windows-Updates. Mit den Updates können Kunden überprüfen, ob alle Client-/Serveranwendungen in ihrer Umgebung bei aktivierten Härteänderungen wie erwartet funktionieren.
Mit der zweite Phase, deren Veröffentlichung für den 8. März 2022 geplant ist, wird die Härtung auf DCOM-Servern standardmäßig programmgesteuert aktiviert und kann bei Bedarf über den Registrierungsschlüssel „RequireIntegrityActivationAuthenticationLevel" deaktiviert werden.
Die dritte Phase, die für den 14. Juni 2022 geplant ist, aktiviert die Härtung auf DCOM-Servern standardmäßig. Sie kann dann nicht mehr deaktiviert werden. Bis zu diesem Zeitpunkt müssen Sie alle Kompatibilitätsprobleme mit den Härtungsänderungen und Anwendungen in Ihrer Umgebung lösen.
<>
Microsoft is addressing this vulnerability in a phased rollout. The initial deployment phase starts with the Windows updates released on June 8, 2021. The updates will enable customers to verify that any client/server applications in their environment work as expected with the hardening changes enabled.
The second phase, planned for an June 14, 2022, programmatically enables the hardening on DCOM servers by default that can be disabled via the RequireIntegrityActivationAuthenticationLevel registry key if necessary.
The third phase, planned for March 14, 2023, enables the hardening on DCOM servers by default and will no longer have the ability to be disabled. By this point, you must resolve any compatibility issues with the hardening changes and applications in your environment.
<<
:-)
Beste Grüße
brima
Man sollte immer die englischsprachigen Microsoft-Artikel verwenden – die deutschsprachigen Beiträge sind meist hoffnungslos veraltet.
Danke Herr Born für das erneute Aufgreifen des Themas…
Wir schauen mit Spannung was dieses Jahr noch so an Update-Problemen nachkommt…
Also nebst PetitPotam auch CVE-2021-42287 (PAC Enforcment) ab Juli 22 enforced / CVE-2021-42291 (AD Zugriff auf Attribut securityDescriptor) ab April 22 enforced. (Liste vermutlich nicht abschliessend, aber das, was wir auf Radar haben)
"Freude Herrscht"…wie Ex-Bundesrat Adolf Ogi zu sagen pflegte ;)
Hallo Herr Born,
ich bin nicht ganz so firm in dieser DCOM-Sache. Ich habe die Meldung:
Die Richtlinie für die serverseitige Authentifizierungsebene lässt nicht zu, dass der Benutzer die DCOM-Server-UMR\Administrator-SID (S-1-5-21-2007127874-3377446353-3830520238-500) von der Adresse 172.16.1.12 aktiviert. Erhöhen Sie die Aktivierungsauthentifizierungsebene mindestens auf RPC_C_AUTHN_LEVEL_PKT_INTEGRITY in der Clientanwendung.
Hier geht es anscheinend um den Zugriff vom Exchange-Server auf den Domain-Controller. Denn Registry-Eintrag zum deaktivieren hab ich schon eingetragen, keine Änderung. Wie kann ich die Aktivierungsauthentifizierungsebene erhöhen? Und woher soll ich wissen, welche Clientanwendung gemeint ist.
Vielleicht kann mir da jemand weiterhelfen. Ich bin bestimmt nicht der Einzige, der nicht weiss, was man tun soll.
Björn Walter hatte was in in diesem Beitrag zu geschrieben. Wie es bei Exchange ausschaut, kann ich ad-hoc nicht sagen – falls mir was unterkommt, mache ich was drüber.