Visualizzazione post con etichetta CVE-2022-37966. Mostra tutti i post
Visualizzazione post con etichetta CVE-2022-37966. Mostra tutti i post

venerdì 18 agosto 2023

PowerShell: Individuare gli account AD senza un corretto tipo di crittografia

Gli aggiornamenti di Windows rilasciati a partire dall'8 novembre 2022 risolvono una vulnerabilità di bypass e elevazione dei privilegi con negoziazione di autenticazione mediante la negoziazione RC4-HMAC debole.
L'aggiornamento imposta AES come tipo di crittografia predefinito per le chiavi di sessione in account che non sono già contrassegnati con un tipo di crittografia predefinito. 

Per proteggere l'intero ambiente, bisogna procedere all'installazione degli aggiornamenti di Windows rilasciati a partire dall'8 novembre 2022 su tutti i dispositivi, inclusi i controller di dominio. 

È possibile che siano stati definiti in modo esplicito i tipi di crittografia degli account utente vulnerabili a CVE-2022-37966. Per cercare gli account in cui DES/RC4 è abilitato in modo esplicito o gli account che hanno un valore nullo di msds-SupportedEncryptionTypes è possibile utilizzare il seguente comando:

Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"

Dopo l'installazione degli aggiornamenti di Windows con data 8 novembre 2022 o successiva, per il protocollo Kerberos è disponibile la chiave del Registro di sistema seguente:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KDC]
"DefaultDomainSupportedEncTypes"=dword:00000027

Se è necessario modificare il tipo di crittografia supportato predefinito per un utente o un computer di Active Directory, aggiungere e configurare manualmente la chiave del Registro di sistema per impostare il nuovo tipo di crittografia supportata.

I controller di dominio Windows usano questo valore per determinare i tipi di crittografia supportati negli account in Active Directory il cui valore msds-SupportedEncryptionType è vuoto o non impostato. Un computer che esegue una versione supportata del sistema operativo Windows imposta automaticamente gli msds-SupportedEncryptionTypes per tale account di computer in Active Directory. Si basa sul valore configurato dei tipi di crittografia consentiti per il protocollo Kerberos.

Gli account utente, gli account del servizio gestito del gruppo e altri account in Active Directory non hanno il valore msds-SupportedEncryptionTypes impostato automaticamente. 

Il valore predefinito 0x27 (DES, RC4, Chiavi di sessione AES) è stato scelto come modifica minima necessaria per questo aggiornamento della sicurezza. Per una maggiore sicurezza è consigliabile impostare il valore di DefaultDomainSupportedEncTypes su 0x3C (in questo modo  sia per i ticket crittografati con AES che per le chiavi di sessione AES). Se si passa ad un ambiente solo AES in cui RC4 non viene utilizzato per il protocollo Kerberos, è consigliabile impostare il valore su 0x38.