[IT管理者向け] DCOM の脆弱性 (CVE-2021-26414) に対応するためのガイダンス
注意:本博客文章发布时间已超过一年,以下信息可能已过时。
2021 年 9 月 27 日: 微软于 2021 年 6 月 8 日(美国时间)公开了分布式组件对象模型(DCOM)中存在的漏洞信息 CVE-2021-26414,并发布了应对该漏洞的安全更新程序。 为全面保护使用 DCOM 的环境,将实施 DCOM 默认认证的安全强化。DCOM 不仅在 Windows 设备中实现,也在非 Windows 设备中实现。因此,考虑到与非 Windows 设备的兼容性,计划分阶段实施对该漏洞的应对措施。 为应对此漏洞,仅在企业或组织管理的终端上部署 2021 年 6 月的安全更新程序可能不够,还需要额外的应对步骤。此外,建议提前验证管理的环境中的客户端或服务器应用程序在启用强化更改后是否能正常工作,以应对未来计划的默认认证强化。 因此,本博客面向 IT 管理员说明该漏洞的概要及必要工作的概要。
注意: 该漏洞的详细及最新信息,请参考以下安全更新程序指南页面及支持技术信息(KB):
- Windows DCOM Server 安全功能绕过 (CVE-2021-26414)
- KB5004442 - 管理 WINDOWS DCOM Server 安全功能绕过的更改 (CVE-2021-26414)
[1] 漏洞概要
DCOM 是使用远程过程调用(RPC)公开应用程序对象的协议。DCOM 用于网络设备软件组件之间的通信。 如果此次 DCOM 漏洞(CVE-2021-26414)被利用,可能导致安全功能被绕过,产生针对 DCOM 服务器的恶意攻击等危害。 需要注意的是,为利用此漏洞,攻击者需要托管特制的服务器共享或网站,并通过某种方式让 DCOM 客户端连接到这些共享或网站。
典型攻击场景:
- 攻击者首先通过某种方式诱导 DCOM 客户端连接到特制服务器,以利用漏洞进行攻击(例如:通过电子邮件进行网络钓鱼)。
- 使用攻击中获得的信息访问 DCOM 服务器。
- 对 DCOM 服务器发起攻击。
为全面保护使用 DCOM 的环境免受此漏洞影响,需要在客户端和服务器端使用更强大的认证级别。具体来说,DCOM 客户端需使用更强大的认证级别(RPC_C_AUTHN_LEVEL_PKT_INTEGRITY),而 DCOM 服务器需拒绝未使用强大认证级别的连接。微软计划分阶段实施强化认证级别的措施。
[2] 受影响的环境
此漏洞影响所有受支持版本的 Windows。 受影响环境的详细信息,请参考安全更新程序指南:Windows DCOM Server 安全功能绕过 (CVE-2021-26414)。
[3] 分阶段应对计划
DCOM 不仅在 Windows 设备中实现,也在非 Windows 设备中实现。因此,考虑到与非 Windows 设备的兼容性,计划分阶段实施对该漏洞的应对措施。
| 更新程序发布日期 | 内容 |
|---|---|
| 2021 年 6 月 8 日 | 应用 2021 年 6 月 8 日发布的安全更新程序后,将进行以下更改: • DCOM 客户端行为:默认使用安全强化认证级别(使用 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY)。 • DCOM 服务器行为:添加可启用或禁用安全强化更改的注册表键。但默认禁用,行为无变化。建议使用注册表键启用,并在组织内进行测试,以应对未来计划的默认行为更改。启用安全强化更改后,不满足认证级别的连接将报错。Windows 通过应用 2021 年 6 月 8 日发布的安全更新程序默认使用安全强化认证级别,但需要在非 Windows 环境中进行验证。 |
| 2021 年 9 月 14 日 | 应用 2021 年 9 月 14 日发布的安全更新程序后,无论安全强化更改是否启用,检测到未使用强大认证级别的连接时,将记录 ID:10036 事件。不满足认证级别的连接将作为警告记录,事件内容示例: SYSTEM Event ID:10036 来源:DistributedCOM 内容:服务器端认证级别策略不允许地址 XX.XX.XX.XX 的用户 XXXX SID (S-1-5-XX-XX) 激活 DCOM 服务器。请在客户端应用程序中将激活级别至少提升至 RPC_C_AUTHN_LEVEL_PKT_INTEGRITY。 |
| 2022 年 6 月 14 日 | 应用 2022 年 6 月 14 日发布的安全更新程序后,安全强化更改将默认启用。但可通过注册表键将安全强化更改设置为禁用。 |
| 2023 年 3 月 14 日 | 强制启用安全强化更改。不满足认证级别的连接将报错。无法通过注册表键将安全强化更改设置为禁用。 |
补充: 建议注册微软技术安全通知(https://aka.ms/MSTN),以便在新更新程序发布时接收通知。
[4] 必要工作
IT 管理员建议实施以下工作:
- 确认微软官方文档,评估漏洞详情及必要应对措施对自身组织的影响。
- Windows DCOM Server 安全功能绕过 (CVE-2021-26414)
- KB5004442 - 管理 WINDOWS DCOM Server 安全功能绕过的更改 (CVE-2021-26414)
- 在自身组织内所有设备上安装 2021 年 8 月及之后的 Windows 月度安全更新程序。(注 1)
- 在用于验证自身组织环境的环境中,应用 8 月及之后的 Windows 月度安全更新程序,并在作为 DCOM 服务器运行的终端上启用安全强化更改。通过修改 “RequireIntegrityActivationAuthenticationLevel” 注册表键启用安全强化。详细信息请参考 KB5004442 - 管理 WINDOWS DCOM Server 安全功能绕过的更改 (CVE-2021-26414)。
- 在之前步骤准备的环境中,测试 DCOM 应用程序功能是否受影响。启用安全强化更改后,不满足认证级别的连接将在 DCOM 应用程序中报错(错误处理详情请咨询应用程序开发方)。Windows 通过应用 2021 年 6 月 8 日发布的安全更新程序默认使用安全强化认证级别,但需要在非 Windows 环境中另行验证。测试中发现问题时,请咨询微软支持及其他相关产品供应商等。
[5] 总结
由于对此漏洞的保护会影响许多环境中使用的 DCOM 行为,为最小化兼容性问题,决定分阶段实施措施。虽然 IT 管理员需要进行测试等工作,但恳请协助在最小化漏洞应对问题的同时强化安全。 此外,此漏洞基于协调漏洞披露理念,与漏洞发现者共同调查并发布了安全更新程序。然而,安全更新程序发布后漏洞存在被公开,可能针对未应用安全更新程序的环境利用漏洞。与所有漏洞一样,如果环境未应用最新安全更新程序,请考虑尽快应用安全更新程序。
垣内由梨香 安全程序经理 安全响应团队
(注 1)DCOM 漏洞 (CVE-2021-26414) 在 2021 年 6 月的月度安全更新程序中首次修复。因此,应用 2021 年 6 月及之后的月度安全更新程序可修复漏洞。但应用 2021 年 6 月月度安全更新程序后,报告了远程执行 WMI 命令时出错的问题,该问题在 2021 年 8 月的月度安全更新程序中修复。因此,推荐应用 2021 年 8 月及之后的安全更新程序。
更新历史
- 2021 年 9 月 7 日:更新了 [4] (2) (3)。
- 2021 年 9 月 27 日:追加了 [3] 2021 年 9 月 14 日实施的更改。
- 2021 年 10 月 20 日:伴随分阶段应对计划变更,更新了 [3]。
- 2022 年 1 月 28 日:伴随分阶段应对计划变更,更新了 [3]。
- 2022 年 2 月 18 日:伴随分阶段应对计划变更,更新了 [3]。
标签: DCOM, ガイダンス, 脆弱性