Bindpocalypse 2022: Ein Update zu CVE-2021-42287

Details zum Sicherheitsrisiko:

Im Herbst 2021 identifizierte Microsoft ein Sicherheitsproblem bei den Active Directory Domain Services (ADDS), bekannt als CVE-2021-42287. Diese Schwachstelle kann es potenziellen Angreifern ermöglichen, sich als Domänencontroller auszugeben. Bei dem Problem handelt es sich um eine Sicherheitslücke, die das Kerberos Privilege Attribute Certificate (PAC) umgeht.

Microsoft stellte zwar zusätzliche Informationen zu dem Problem sowie eine Anleitung zur Behebung auf ihrer Support-Website bereit, aber Administratoren entdeckten sofort ein weiteres Problem, das sich durch die Korrekturmaßnahmen ergab: Die behobenen Server erlaubten macOS nicht mehr, sich mit Active Directory zu verbinden.

Was die ursprüngliche Korrektur stattdessen kaputt gemacht hat:

Microsoft aktualisierte die Informationen zu CVE-2021-42287 am 22. März 2022 mit Details zu einem neuen Fehler bei der Anbindung von Geräten von Drittanbietern an das Active Directory. Aus dem Abschnitt „Bekannte Probleme“:

"Nach der Installation von Windows-Updates, die am 9. November 2021 oder später auf Domänencontrollern (DCs) veröffentlicht wurden, wird bei einigen Kunden möglicherweise die neue Audit-Ereignis-ID 37 nach bestimmten Kennworteinstellungs- oder -änderungsvorgängen protokolliert, wie z. B. ...Ändern des Kennworts für fremde, domänenverbundene Geräte."

Obwohl dies nicht speziell macOS-Geräte betraf, stellten Apple-Administratoren auf Jamf Nation fest, dass der Patch, wenn er vollständig durchgeführt wird, die Bindung an Active Directory unterbricht.

Was ist der "Vollstreckungsmodus"?

Um das Testen des Patches in Kundenumgebungen zu fördern, hat Microsoft einen Registrierungsschlüssel erstellt (ähnlich wie Apple einen Einstellungsschlüssel verwendet), mit dem der Grad der Protokollierung bei der Aktivierung des Patches festgelegt werden kann. Standardmäßig war dieser Registrierungsschlüssel nicht vorhanden, sodass ein Administrator den Schlüssel hinzufügen musste, um die Software zu testen. Stufe 1 diente nur der Protokollierung, Stufe 2 aktivierte den Patch vollständig. Wenn die Durchsetzung von Stufe 2 aktiviert war, funktionierte die Anbindung von macOS-Geräten nicht mehr. Ursprünglich wollte Microsoft diesen Patch am 12. Juli 2022 durchsetzen und auf allen Servern aktivieren. Diese wurde inzwischen auf den 11. Oktober 2022verschoben, um Administratoren die Möglichkeit zu geben, Probleme zu testen und zu melden.

Administratoren, die ihre Apple-Geräte immer noch an das lokale Active Directory (AD) binden, wird dringend empfohlen, die Versionshinweise für Windows Server genau zu beachten und sich über Jamf Nation auf dem Laufenden zu halten, insbesondere wenn in den Versionshinweisen nicht ausdrücklich auf Probleme hingewiesen wird, die ihre Apple-Umgebungen betreffen könnten.

Behebung des Problems:

Patchen, testen, bewerten und dann dokumentieren.

Microsoft veröffentlichte am 12. April 2022 einen aktualisierten Patch mit Informationen zur Aktualisierung des Windows Servers auf die neueste Version. Derzeit ist kein Patch für macOS erforderlich, aber bei gemischten Umgebungen von Windows und macOS Geräten sollten die Veröffentlichungskanäle für Windows und Apple im Auge behalten werden, falls später Patches verteilt werden.Windows 11 wurde im Beta- und Vorschauversions-Kanal gepatcht, um dieses "Fehler 37"-Problem zu lösen.

Zweitens hat Apple auf der World Wide Developer Conference (WWDC) in den letzten drei Jahren empfohlen, bei der Verwaltung von Unternehmensimplementierungen die Anbindung von Geräten an Active Directory zu vermeiden, außer in sehr begrenzten Situationen:

• Geteilte Geräte-Umgebungen, in denen Geräte eventuell mehrere Benutzer haben und das lokale Netzwerk nie verlassen
• Durchgesetzte Anforderungen der PIV/CAC SmartCard für den Gerätezugriff und Zertifikatsvalidierung.

In allen anderen Fällen sollten Administratoren Alternativen zur Bindung in Betracht ziehen, z. B. die Verwendung von MDM zur Verwaltung von Geräten und die Verwendung von Tools wie Kerberos SSO Extensions für die Benutzerverwaltung.

Eine Zukunft ohne Bindung:

Das ist nicht das erste Mal, dass die Anbindung von macOS Geräten an das Active Directory ein Problem darstellt. Die Anbindung ist entweder komplett unterbrochen (z. B. bei der Erstveröffentlichung von OS X Lion im Jahr 2011) oder sie bereitet Administratoren einfach nur Kopfzerbrechen, wenn Geräte nicht mehr mit AD kommunizieren, wodurch der Schlüsselbund der Benutzer und die FileVault-Kennwortsynchronisierung unterbrochen werden und Endbenutzer sich generell nicht mehr an ihren Geräten authentifizieren können.

Tools wie Jamf Connect, die Apple Kerberos SSO-Erweiterung für Unternehmen und NoMAD wurden speziell entwickelt, um dieses Problem zu verhindern.

Gleichzeitig ist der Wechsel zu Remote- und Hybrid-Arbeitsumgebungen eindeutig: Viele Unternehmen wechseln zu Cloud-basierten Lösungen zur Verwaltung ihrer Geräte, Anwendungen und Zugriffs- und Identitätsdienste. Durch die Verlagerung von Unternehmensressourcen und -infrastrukturen in die Cloud wird die durch die Bindung an einen Domänencontroller gebotene Funktionalität zudem immer weniger benötigt.

Mit Jamf Connect können Apple-Computer, auf denen macOS läuft, Benutzerkonten mit Cloud-Identitätsanmeldeinformationen bereitstellen, den Kontozugriff mit zentralisierten Verwaltungsrechten sichern und die Anmeldeinformationen synchron halten — vor Ort oder offline — ohne eine Verbindung zu AD.

Bei der Fernarbeit können sich die Benutzer mit ihren institutionellen Anmeldedaten bei ihrem Mac anmelden — demselben vertrauten Benutzernamen und Passwort, das sie auch vor Ort verwenden würden. IT-Administratoren entscheiden Mithilfe des Cloud-basierten Verzeichnisdienstes des Identity Providers (IdP), wer lokale Kontoverwaltungsrechte erhält. Zudem erhalten Help Desks weniger Anrufe bezüglich vergessener Passwörter aufgrund von Single Sign-On (SSO), wobei nur ein einziges Passwort für alle verwalteten Geräte und Services erforderlich ist.

Wenn Sie im Büro arbeiten, verwendet Jamf Connect dieselben Anmeldeinformationen, um Kerberos-Zertifikate ohne Bindung an Active Directory zu erhalten. Diese Kerberos-Tickets ermöglichen dann einen nahtlosen und sicherer Zugriff auf gemeinsame Ressourcen vor Ort.

Beschränkungen

Verwaltete Benutzer oder MDM-aktivierte Benutzer

Die vollständige Abschaffung einer Anbindung erfordert Planung. Administratoren sollten bedenken, dass alle Benutzer, die sich bei einem Mac mit einem AD-Account authentifizieren, Zugriff auf Nutzer-Channel-Konfigurationsprofile haben. Ohne Bindung kann nur das erste lokale Konto, das während der automatischen Geräteanmeldung erstellt wurde, oder der Benutzer, der das Gerät im Rahmen eines vom Benutzer initiierten Anmeldeprozesses im MDM angemeldet hat, die Vorteile der Konfigurationsprofile auf Benutzerebene nutzen.

Um herauszufinden, welche Profile auf die Benutzerebene beschränkt sind, finden Sie in Ihrer MDM-Lösung eine vollständige Liste der Konfigurationsprofile, die auf die Flotte Ihres Unternehmens angewendet werden.

Prüfen Sie anschließend, wie diese Konfigurationsprofile in Ihrer Flotte verwendet werden. Wenn ein Gerät als ein 1:1 zugewiesen ist, sollte es keine Probleme geben, wenn das Profil auf Computer-Level angewendet wird. Zum besseren Verständnis: Wenn Sie die einzige Person sind, die einen Schlüssel für Ihr Auto hat, macht es dann wirklich einen Unterschied, ob Sie Ihren Führerschein in Ihrem Auto oder in Ihrer Geldbörse aufbewahren? Eigentlich nicht, solange Sie die Kriterien für den Besitz eines solchen erfüllen.

Einige Netzwerksicherheitsprodukte von Cisco verfolgen einzelne Benutzer im Netzwerk mit zertifikatsbasiertem Zugang auf Benutzerebene. Administratoren sollten prüfen, ob diese Art der Nachverfolgung notwendig ist, oder den Wechsel zu modernen Cloud-basierten Netzwerksicherheitsprodukten wie Jamf Private Access in Betracht ziehen.

802.1x RADIUS Networks

Bei Jamf Connect erfordert der Anmeldebildschirm eine Netzwerkverbindung zur Authentifizierung gegenüber dem cloudbasierten IdP. Ein benutzerbasierter 802.1x-RADIUS-Zugang — entweder mit einem Benutzernamen und einem Passwort oder einem Zertifikat — ist in diesem Szenario nicht möglich.

Der Anmeldebildschirm ist Eigentum des Root-Benutzers. Für die Sicherheit hat Root keinen Speicher, keine macOS Keychain, um Anmeldedaten oder Zertifikate sicher zu speichern und kann daher keine Anmeldedaten auf Benutzerebene verwenden.

Ein verwaltetes Gerät sollte für den Zugriff auf verwaltete Netzwerke ein verwaltetes Zertifikat verwenden. In diesem Szenario können Administratoren Konfigurationsprofile auf Computerebene mit gerätebasiertem SCEP Zertifikats-Zugriff auf RADIUS-Netzwerke anwenden. Dies ermöglicht eine zusätzliche Sicherheitsebene und stellt sicher, dass Administratoren und MDM-Befehle jederzeit auf ein Gerät zugreifen können, auch wenn ein Benutzer gerade nicht angemeldet ist.