NetApp Impact durch Microsoft Patches zu CVE-2022-38023
SU530: [Impact Critical] NTLM authentication fails due to enforcement of Netlogon RPC sealing (Microsoft CVE-2022-38023)
https://kb.netapp.com/Support_Bulletins/Customer_Bulletins/SU530
Sprich, falls Ihre NetApps noch kein ONTAP-Update auf die unten gelisteten Versionen (oder neuere) erhalten haben, werden die betroffenen Storage-Systeme nach Installation des Microsoft-Patches auf ihrem Domaincontroller nicht mehr per CIFS ansprechbar sein.
Sollten Sie bereits upgedatet haben, ist dieser Hinweis hinfällig.
Falls Sie ein Update Ihrer Umgebung wünschen, dürfen Sie sich gern bei uns melden. Wir koordinieren die (Notfall-)Updates über ein separates Team.
Das Updaten der ONTAP-Version aus dem Helpdesk ist nicht vorgesehen.
Was wurde geändert?
Um die Sicherheitslücke zu beheben, wird die RPC Kommunikation von Netlogon nicht nur signiert (Signing) sondern nun auch noch zwangsweise verschlüsselt (Sealing).
NetApp hat mittlerweile bestätigt, dass durch diese Updates die CIFS-Authentifizierung in ONTAP fehlschlagen kann. CIFS-Sessions via NTLM werden danach nicht mehr möglich sein.
Aktuell arbeitet NetApp an der Entwicklung eines Patches (Bug-ID 1514175, Implementierung von RPC Sealing), welcher in folgenden ONTAP-Versionen veröffentlich werden soll:
• 9.7P22 (targeted for the first half of April)
• 9.8P18 (targeted for late April)
• 9.9.1P15 (targeted for the first half of April)
• 9.10.1P12 (targeted for late April)
• 9.11.1P8 (targeted for late April)
• 9.12.1P2 (targeted for the first half of April)
• 9.13.1RC1 (targeted for the first half of May)
Was ist zu tun?
Bevor die Windows-Updates vom 11. April 2023 auf den Domain Controller eingespielt werden:
- entweder auf ein ONTAP-Release mit Fix für Bug 1514175 updaten falls eines verfügbar ist --> Schutz gegen CVE-2022-38023
- oder als Workaround: Den Registry-Key „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal“ auf 1 (Compatibility Mode) setzen, auf allen Domain-Controllern. --> jedoch solange kein Schutz gegen CVE-2022-38023
Bevor die Windows-Updates vom 11. Juli 2023 auf den Domain Controller eingespielt werden:
- auf ein ONTAP-Release mit Fix für Bug 1514175 updaten --> Schutz gegen CVE-2022-38023
- Workarounds gibt es ab dann keine mehr: Die im MS-Artikel erwähnte GPO namens "Allow vulnerable Netlogon secure channel connections", welche prinzipiell als "Allow-Liste" für Clients genutzt werden könnte, hilft – nach Rücksprache mit NetApp - in diesem Fall leider nicht weiter (für die ONTAP CIFS-Computerkonten). Ob dies aufgrund eines Fehlers in der Implementierung in Windows oder durch eine Inkompatibilität mit ONTAP so ist, ist uns aktuell nicht bekannt.
Zum jetzigen Stand gibt es nach dem Einspielen der Windows-Updates vom 11. Juli also keine andere Möglichkeit als das ONTAP-Update einzuspielen.
Was ist mit 7-Mode?
- Für 7-Mode Systeme wird es keine Patches geben. Sollte also bis zum 11. Juli der Workaround über die oben erwähnte GPO "Allow vulnerable Netlogon secure channel connections" nicht funktionieren, so werden ab dem 11. Juli 7-Mode Systeme keine NTLM Authentifizierung mehr nutzen können.
Hinweise:
• CIFS-Server im Workgroup Mode sind davon auch betroffen.
• Die Sicherheitslücke betrifft sowohl NTLMv1 als auch NTLMv2 Sessions.
• Kerberos-Sessions sind nicht betroffen.
• NFS Zugriffe, auch auf NTFS-Style Volumes via UserMapping, sind nach aktuellem Kentnisstand ebenfalls nicht betroffen.
Um herauszufinden, ob auf Ihrem ONTAP-System NTLM Sessions in Verwendung sind, können Sie folgendes Kommando benutzen. Alle Sessions mit „NTLMv1“ oder „NTLMv2“ in der Spalte „auth-mechanism“ wären von dem Patch betroffen.
cl1::> vserver cifs session show -fields vserver,address,windows-user,auth-mechanism
node vserver session-id connection-id address auth-mechanism windows-user
----- ------- ------------------ ------------- ------------ -------------- ---------------
cl1n2 DEMO7 131448814123876357 3920988738 10.93.71.202 Kerberos HYPERVDEMO\HV2$
cl1n2 DEMO7 131448814123876359 3920988738 10.93.71.202 Kerberos HYPERVDEMO\HV2$
cl1n2 DEMO7 131448814123876360 3920988738 10.93.71.202 Kerberos HYPERVDEMO\HV2$
cl1n2 DEMO7 131448814124007642 3921145562 10.93.71.201 Kerberos HYPERVDEMO\HV$
cl1n2 DEMO10 131448814124007668 3921145586 10.93.100.16 NTLMv2 CITRIX\svc_citrixadmin
5 entries were displayed.
Aus unserer Erfahrung sind NTLM Sessions immer noch sehr weitverbreitet, so dass ein nicht unerheblicher Teil ihrer Infrastruktur betroffen wäre.
Bei Fragen zu dieser Thematik zögern Sie bitte nicht, auf Ihre Kundenansprechpartner zuzugehen. Diese können Sie auch bei der Implementierung des Workarounds und/oder beim Update auf eine nicht betroffene ONTAP Version (sobald diese verfügbar sind) unterstützen.
Viele Grüße
Ihr AU HelpDesk
AU-Helpdesk
Tel
+49 7123 9542-250
helpdesk(at)au.de