CISA: در اینجا نحوه اعمال این وصله کلیدی ویندوز بدون شکستن احراز هویت گواهی است

CISA نقص ویندوز را دوباره اضافه کرده است CVE-2022-26925 به آن کاتالوگ آسیب پذیری های شناخته شده (KEV). و به آژانس های فدرال گفته است که آن را تا 22 جولای اصلاح کنند.

“بعد از نصب به‌روزرسانی‌های 10 می 2022 ویندوز، مراقب پیام‌های هشداری باشید که ممکن است بعد از یک ماه یا بیشتر ظاهر شود. اگر پیام هشداری وجود ندارد، اکیداً توصیه می‌کنیم که حالت Full Enforcement را روی همه کنترل‌کننده‌های دامنه با استفاده از گواهی مبتنی بر گواهی فعال کنید. احراز هویت. می‌توانید از کلید رجیستری KDC برای فعال کردن حالت Full Enforcement استفاده کنید.”

CISA در 15 مه CVE-2022-26925 را موقتاً از کاتالوگ KEV حذف کرد زیرا مشتریان پس از اعمال به‌روزرسانی روی سرورهای ویندوز که به عنوان کنترل‌کننده دامنه استفاده می‌شوند، یعنی سرورهای ویندوزی که برای احراز هویت کاربر با آن‌ها استفاده می‌شوند، با ورود به سیستم مواجه شدند.

علاوه بر شکستن احتمالی ورود کاربران در بسیاری از آژانس‌های فدرال، راه‌حلی پیچیده نیز برای راه‌اندازی آن است.

آژانس امنیت سایبری و امنیت زیرساخت (CISA) اکنون به آژانس‌های فدرال و سایرین توصیه می‌کند که نقص ویندوز مربوط به وصله سه‌شنبه ماه مه مایکروسافت را برطرف کنند.

اعمال به‌روزرسانی امنیتی مه 2022 دستگاه‌ها را در حالت سازگاری قرار می‌دهد. و در سال آینده، در 9 می 2023، مایکروسافت تمام دستگاه‌ها را به حالت اجرایی کامل به‌روزرسانی می‌کند، اگر قبلاً در آن نباشند.

NTLM یا مدیر شبکه NT (NTLM) یک پروتکل احراز هویت قدیمی مایکروسافت برای Active Directory است که در ویندوز 2000 پیاده‌سازی شده است. LSA به برنامه‌ها اجازه می‌دهد تا احراز هویت و ورود کاربران به سیستم محلی را انجام دهند.

اما CISA می‌گوید آژانس‌ها هنوز نباید به نقشه‌برداری قوی گواهی-کاربر مهاجرت کنند، تا حدی به این دلیل که ممکن است با برخی موارد استفاده معتبر در اکوسیستم فدرال PKI در تضاد باشد. CISA می‌گوید در حال مذاکره با مایکروسافت برای یافتن راه‌حلی کمتر مخرب است.

“هنگامی که به‌روزرسانی‌های 10 می 2022 ویندوز را نصب کردید، دستگاه‌ها در حالت سازگاری قرار می‌گیرند. اگر گواهی را بتوان به شدت برای یک کاربر نگاشت کرد، احراز هویت همانطور که انتظار می‌رود انجام می‌شود. اگر یک گواهی تنها می‌تواند به صورت ضعیف به کاربر نگاشت شود، احراز هویت مایکروسافت در یک پرسش متداول توضیح می دهد که همانطور که انتظار می رود رخ خواهد داد.

“CISA و گروه کاری بین سازمانی در حال گفتگوهای فعال با مایکروسافت برای بهبود مسیر رو به جلو هستند. در حال حاضر، CISA این کار را انجام می دهد. نه به آژانس‌ها توصیه می‌کنیم که مهاجرت به یک نقشه‌برداری قوی را دنبال کنند.” CISA می‌گوید.


منبع: https://www.zdnet.com/article/cisa-heres-how-to-apply-this-key-windows-patch-without-breaking-certificate-authentication/#ftag=RSSbaffb68

اما همانطور که CISA توضیح می‌دهد، این به‌روزرسانی‌ها باعث شکست ورود به سیستم در «بسیاری از آژانس‌های فدرال» شد که از گواهی‌های تأیید هویت شخصی (PIV)/کارت دسترسی مشترک (CAC) برای احراز هویت استفاده می‌کنند. این شکست از اکتیو دایرکتوری ناشی می شود، پس از به روز رسانی می 2022، به دنبال “نقشه قوی بین گواهی و حساب” است.

مایکروسافت دلیل بررسی دقیق‌تر گواهی‌ها در حالت سازگاری را این است که قبل از به‌روزرسانی امنیتی می 2022، احراز هویت مبتنی بر گواهی علامت دلار ($) در انتهای نام دستگاه را در نظر نمی‌گرفت و امکان حملات جعل را فراهم می‌کرد.

این اشکال در Windows Local Security Authority (LSA) است که “حاوی یک آسیب‌پذیری جعل است که در آن مهاجم می‌تواند کنترل‌کننده دامنه را وادار کند تا با استفاده از NTLM برای مهاجم احراز هویت کند.”

برای جلوگیری از این مشکلات ورود، CISA در حال حاضر توصیه می کند مراحل خود را برای تنظیم دو کلید رجیستری در کنترل کننده های دامنه دنبال کنید.

تنظیمات کلید رجیستری به مدیران این امکان را می دهد که کنترل کنند دامنه در “حالت سازگاری” یا “حالت اجرای کامل” است یا خیر.

CISA اول جولای است در راهنمای جداگانه ذکر شده است برای اعمال وصله برای CVE-2022-26925 که شامل رفع دو نقص مرتبط است که در به‌روزرسانی می پچ سه‌شنبه برطرف شده است: CVE-2022-26923, خدمات دامنه اکتیو دایرکتوری ارتقاء نقص امتیاز. و CVE-2022-26931، یک آسیب‌پذیری دسترسی به ویندوز Kerberos. (Kerberos جانشین NTLM برای احراز هویت در اکتیو دایرکتوری است).

با این حال، یک پیام هشدار ثبت می‌شود مگر اینکه گواهی قدیمی‌تر از کاربر باشد. اگر گواهی قدیمی‌تر از کاربر باشد و کلید رجیستری Certificate Backdating وجود نداشته باشد یا محدوده خارج از جبران عقب‌نگاری باشد، احراز هویت انجام نمی‌شود و خطا رخ می‌دهد. اگر کلید رجیستری Certificate Backdating پیکربندی شده باشد، یک پیام هشدار در گزارش رویداد ثبت می‌کند اگر تاریخ‌ها در جبران تاریخ عقب‌نشینی قرار گیرند.

CISA می گوید که مایکروسافت در ماه مه 2023 دستگاه های ویندوز سرور را به حالت “اجرای کامل” هدایت می کند “اگر آژانس ها نقشه ای قوی ایجاد نکرده باشند یا SID ها را به گواهی ها اضافه نکرده باشند.”