Avatar photo
Forfatter:
[email protected]
Kim er en dedikert person med et brennende engasjement for sikkerhet, og har etter mer enn 20 år i bransjen blitt et kjent navn for mange i sikkerhetsmiljøet i Norge. Han har også høstet internasjonal anerkjennelse for sitt sikkerhetsarbeid.

Microsofts patch av 8 juni 2021 gav brukere en mulighet til disable sårbarheten knyttet til Windows DCOM Server Security Feature Bypass, ofte brukt i forbindelse med WMI spørringer via annet nettverskutstyr, herunder User-ID oppsett fra Palo Alto Networks.

Med denne patchen måtte man manuelt sette oppe en registry key som satte korrekt beskyttelse:

Path : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
Value Name: "RequireIntegrityActivationAuthenticationLevel"
Type: dword
Value Data: 0x00000001

Dette endret seg med Microsoft patch av 14 juni 2022. Da ble nemlig ovennevnte reg-nøkkel satt til 1 og det medførte en hard blokkering av alle WMI-forespørsler og systemloggen hos mange er ny fylt opp med følgende meldinger:

The server-side authentication level policy does not allow the user <username> from address <FW IP> to activate DCOM server. Please raise the activation authentication level at least to RPC_C_AUTHN_LEVEL_PKT_INTEGRITY in client application

Event ID: 10036
Level: Error

Palo Alto Networks la ut en artikkel på dette 9 november 2021 og anbefalte her 4 alternativer:

  • Option 1: Rollback the Microsoft patch – i realiteten ikke noe alternativ.
  • Option 2: Disable the registry key – Dette vil fungere, men «feilmeldingen» vil fremdeles komme i systemloggen dette er lite heldig. Dette vil heller ikke virke etter MS Patch som kommer i mars 2023. Microsoft gir denne advarselen: March 14, 2023 – Hardening changes enabled by default with no ability to disable them. By this point, you must resolve any compatibility issues with the hardening changes and applications in your environment.
  • Option 3: Switch to WinRM transport protocol – dette vil fungere bra, men det vil kreve endringer i winrm oppsett på alle domenekontrollerne, dette er ikke alltid et alternativ!
  • Option 4: Switch to Windows based User-ID agent. Dette er den absolutt beste måten å sette opp user-id integrasjonen på og den måten vil også minimere rettighetene som trengs for service kontoen.Anbefalt oppsett og vurderinger som må tas knyttet til user-id agent er her for PAN-OS 10.1: https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-admin/user-id/map-ip-addresses-to-users/configure-user-mapping-using-the-windows-user-id-agent/configure-the-windows-based-user-id-agent-for-user-mapping

Ta kontakt

Vi i Sicra har satt opp flere oppsett og erfaringer fra nettverksoppsett og AD tilsier at alternativ 4 er den sikreste og mest stabile løsningen å sette opp. Om dere har behov for bistand, ta kontakt med oss. 

Link til PA artikkel:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MI6CAM  

Link til Microsoft:
https://support.microsoft.com/en-us/topic/kb5004442-manage-changes-for-windows-dcom-server-security-feature-bypass-cve-2021-26414-f1400b52-c141-43d2-941e-37ed901c769c