CVE-2021-26414 – patch av 14 juni 2022 blokkerer DCOM/RPC/WMI forespørsler


Mange firmaer med oppsett knyttet til WMI/DCOM mot domenekontrollere har opplevd full stopp etter 14. juni 2022. Hva er årsaken til det?


Mange firmaer med oppsett knyttet til WMI/DCOM mot domenekontrollere har opplevd full stopp etter 14. juni 2022. Hva er årsaken til det?

Microsofts patch av 8 juni 2021 gav brukere en mulighet til disable sårbarheten knyttet til Windows DCOM Server Security Feature Bypass, ofte brukt i forbindelse med WMI spørringer via annet nettverskutstyr, herunder User-ID oppsett fra Palo Alto Networks.

Med denne patchen måtte man manuelt sette oppe en registry key som satte korrekt beskyttelse:

Path : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

Value Name: “RequireIntegrityActivationAuthenticationLevel”

Type: dword

Value Data: 0x00000001

Dette endret seg med Microsoft patch av 14 juni 2022. Da ble nemlig ovennevnte reg-nøkkel satt til 1 og det medførte en hard blokkering av alle WMI-forespørsler og systemloggen hos mange er ny fylt opp med følgende meldinger:

The server-side authentication level policy does not allow the user <username> from address <FW IP> to activate DCOM server. Please raise the activation authentication level at least to RPC_C_AUTHN_LEVEL_PKT_INTEGRITY in client application

Event ID: 10036

Level: Error

Palo Alto Networks la ut en artikkel på dette 9 november 2021 og anbefalte her 4 alternativer:

  • Option 1: Rollback the Microsoft patch – i realiteten ikke noe alternativ.
  • Option 2: Disable the registry key – Dette vil fungere, men “feilmeldingen” vil fremdeles komme i systemloggen dette er lite heldig. Dette vil heller ikke virke etter MS Patch som kommer i mars 2023. Microsoft gir denne advarselen: March 14, 2023 – Hardening changes enabled by default with no ability to disable them. By this point, you must resolve any compatibility issues with the hardening changes and applications in your environment.

Ta kontakt

Vi i Sicra har satt opp flere oppsett og erfaringer fra nettverksoppsett og AD tilsier at alternativ 4 er den sikreste og mest stabile løsningen å sette opp. Om dere har behov for bistand, ta kontakt med oss. 

Link til PA artikkel:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MI6CAM  

Link til Microsoft:
https://support.microsoft.com/en-us/topic/kb5004442-manage-changes-for-windows-dcom-server-security-feature-bypass-cve-2021-26414-f1400b52-c141-43d2-941e-37ed901c769c