Security | info.axacom.ch

NetScaler Kerberos Authentication funktioniert nach dem Windows Update 2022-11 nicht mehr

by Eckart Gutzeit | Nov 15, 2022 | ALARM, ctx_adc, microsoft

Kunden, die auf ihrem NetScaler Kerberos verwenden, bekommen nach dem Microsoft November Update ein Problem. Kerberos funktioniert danach nicht mehr mit dem NetScaler und auch weitere Umsysteme sind davon betroffen. Sie erhalten bei einem Login Versuch via NetScaler folgenden Eintrag im System Eventlog des Domain Controllers:

While processing an AS request for target service <service>, the account <account name> did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 1). The requested etypes : 18 3. The accounts available etypes : 23 18 17. Changing or resetting the password of <account name> will generate a proper key.

Es handelt sich dabei um einen Bug im November Update von Microsoft, welcher bereits offiziell bestätigt ist, s. https://learn.microsoft.com/en-us/windows/release-health/status-windows-11-22h2#2953msgdesc

und https://borncity.com/win/2022/11/14/microsoft-confirms-kerberos-authentication-issues-after-nov-2022-updates/

Aktuell ist ein Workaround, aber noch kein Fix vorhanden, s. UPDATE 15.11.2022, 12:36

Kunden sollten das November Update auf Domain Controllern daher zurückhalten, oder den Workaround implementieren.

Sobald eine Lösung existiert, wird dieser Artikel erneut aktualisiert.

UPDATE 15.11.2022, 12:36:

Citrix hat hier einen KB Artikel zu dem Problem veröffentlicht und auch einen Workaround beschrieben:

https://support.citrix.com/article/CTX474888/daas-vdas-not-registering-with-cloud-connectors-after-applying-microsoft-update-kb5019966

Umgemünzt auf den NetScaler bedeutet dies, dass der KCD Account so modifiziert werden muss, wie in dem Screenshot gezeigt:

Anschliessend funktioniert KCD auch mit gepatchten Domain Controllern wieder.

Sollte das nicht genügen, kann mit folgendem Registry Key das Verhalten bei der Kerberos Signaturüberprüfung angepasst werden, s. https://support.microsoft.com/en-us/topic/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967-997e9acc-67c5-48e1-8d0d-190269bf4efb#registry5020805:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc]

«KrbtgtFullPacSignature»=dword:00000000

ACHTUNG: Diese Anpassungen sind nur als Workaround zu verstehen und sollten wieder rückgängig gemacht werden, sobald Microsoft einen Fix für den Fehler bereitstellt!

UPDATE 18.11.2022

Microsoft hat ein OOB Update für Domain Controller veröffentlicht, welches das oben beschriebene Problem löst.

Der offizielle Artikel und die Download Links sind hier zu finden: https://learn.microsoft.com/en-us/windows/release-health/windows-message-center#2961

Nach der Installation des Updates auf allen Domain Controllern ist es möglich RC4 wieder vom KCD Account zu entfernen (Attribut: msDS-SupportedEncryptionTypes, Value: 24) und falls gesetzt, den Reg Key «KrbtgtFullPacSignature» wieder zu entfernen.

Citrix Gateway and Citrix ADC Security Bulletin for CVE-2022-27510 CVE-2022-27513 and CVE-2022-27516

by Chris Su | Nov 8, 2022 | ALARM, ctx_adc

Description of Problem

Vulnerabilities have been discovered in Citrix Gateway and Citrix ADC, listed below. Note that only appliances that are operating as a Gateway (appliances using the SSL VPN functionality or deployed as an ICA proxy with authentication enabled) are affected by the first issue, which is rated as a Critical severity vulnerability.

CVE-ID	Description	CWE	Affected Products	Pre-conditions
CVE-2022-27510	Unauthorized access to Gateway user capabilities	CWE-288: Authentication Bypass Using an Alternate Path or Channel	Citrix Gateway, Citrix ADC	Appliance must be configured as a VPN (Gateway)
CVE-2022-27513	Remote desktop takeover via phishing	CWE-345: Insufficient Verification of Data Authenticity	Citrix Gateway, Citrix ADC	Appliance must be configured as a VPN (Gateway) and the RDP proxy functionality must be configured
CVE-2022-27516	User login brute force protection functionality bypass	CWE-693: Protection Mechanism Failure	Citrix Gateway, Citrix ADC	Appliance must be configured as a VPN (Gateway) OR AAA virtual server and the user lockout functionality “Max Login Attempts” must be configured

The following supported versions of Citrix ADC and Citrix Gateway are affected by this vulnerability:

Citrix ADC and Citrix Gateway 13.1 before 13.1-33.47
Citrix ADC and Citrix Gateway 13.0 before 13.0-88.12
Citrix ADC and Citrix Gateway 12.1 before 12.1.65.21
Citrix ADC 12.1-FIPS before 12.1-55.289
Citrix ADC 12.1-NDcPP before 12.1-55.289

This bulletin only applies to customer-managed Citrix ADC and Citrix Gateway appliances. Customers using Citrix-managed cloud services do not need to take any action.

Please monitor any changes on the Citrix article as well: https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516

Exchange 0-day-Exploit 2022

by Simon Schürmann | Sep 30, 2022 | ALARM, ctx_adc, microsoft

CVE-2022-41040, CVE-2022-41082

Security Bulletin | High |

Microsoft is investigating two reported zero-day vulnerabilities affecting Microsoft Exchange Server 2013, 2016, and 2019. The first vulnerability, identified as CVE-2022-41040, is a Server-Side Request Forgery (SSRF) vulnerability, while the second, identified as CVE-2022-41082, allows remote code execution (RCE) when PowerShell is accessible to the attacker.

What Customers Should Do

To protect your on-prem Exchange you can bind a responder policy on the Citrix ADC contentswitch handling all the Exchange related traffic:

add responder policy rspol_exchange_zeroday_oct_22 "HTTP.REQ.URL.PATH.SET_TEXT_MODE(IGNORECASE).STARTSWITH(\"/autodiscover\") && HTTP.REQ.URL.PATH_AND_QUERY.SET_TEXT_MODE(IGNORECASE).REGEX_MATCH(re/.*autodiscover\\.json.*\\@.*Powershell.*/)" RESET

Update 05.10.2022 (https://www.heise.de/news/Exchange-0-Day-Microsoft-korrigiert-Workaround-7284241.html):

add responder policy rspol_exchange_zeroday_oct_22 "HTTP.REQ.URL.PATH.SET_TEXT_MODE(IGNORECASE).STARTSWITH(\"/autodiscover\") && HTTP.REQ.URL.PATH_AND_QUERY.SET_TEXT_MODE(IGNORECASE).REGEX_MATCH(re/.*autodiscover\\.json.*.*Powershell.*/)" RESET

Bind this responder to the Exchange contentswitch.

Customers whose internal traffic flows directly to the Exchange servers should also implement the suggested mitigations described here: https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

At the moment Citrix has not released any official WAF signatures.

In case you need help please open a ticket in your AXACOM Support Portal.

CVE-2021-44228 Citrix Security Advisory for Apache (Log4j RCE 0-day mitigation)

by Chris Su | Dez 14, 2021 | ALARM

UPDATE 23.12.2021, 15:10 Uhr

Aufgrund eines weiteren CVE’s (CVE-2021-45105) bezüglich der Log4j Schwachstelle hat Citrix erneut Updates für XenMobile Server herausgebracht, s. https://support.citrix.com/article/CTX335705

Updates für diese Versionen stehen zum Download bereit:

XenMobile Server 10.14 RP3: https://support.citrix.com/article/CTX335897

XenMobile Server 10.13 RP6: https://support.citrix.com/article/CTX335875

XenMobile Server 10.12 RP11: https://support.citrix.com/article/CTX335861

Dieses Update sollte schnellstmöglich installiert werden.

UPDATE 16.12.2021, 10.50 Uhr

Für Citrix Endpoint Management (Citrix XenMobile Server) steht ein Update bereit, welches die Log4j Schwachstelle fixt. Bitte so schnell wie möglich das RP2 für XenMobile Server 10.14 installieren: https://support.citrix.com/article/CTX335763

RP5 für XenMobile Server 10.13 wird in Kürze ebenfalls zum Download bereitstehen, der KB Artikel ist bereits online: https://docs.citrix.com/en-us/xenmobile/server/release-notes/release-notes-10-13-rolling-patch-5.html

Der Download für XenMobile Server 10.13 RP5 ist online: https://support.citrix.com/article/CTX335753

In der Dokumentation zu den Rollup Patches findet sich aktuell noch kein Hinweis auf die Log4j Schwachstelle. Von Citrix kam aber folgende Info:

Fixes in This Public Release

On XenMobile Server, you observe high CPU utilization on server nodes in peak hour.

[From xms_10.14.0.10206.bin] [CXM-102568]

OnPrem 10.14 RP2 – Upgrade log4j (Remote Code Execution zero-day)

[From xms_10.14.0.10206.bin] [CXM-102844]

10.14 RP2 – Remove log4j1.x of Kafka (used in GoogleAnalytics) and upgrade log4j2.x to 2.16.0

[From xms_10.14.0.10206.bin] [CXM-102878]

Original Artikel

Am 09.12.2021 wurde der CVE-2021-44228 publiziert. In diesem geht es um eine Sicherheitslücke im log4j. Die Schwachstelle ist in jeder Version vom log4j enthalten und betrifft zum Grossteil Java Applikationen. In Version log4j 2.15.0 wurde diese Schwachstelle behoben.

Hierzu gibt es den folgenden Citrix Security Advisor Artikel:
https://support.citrix.com/article/CTX335705

Citrix Produkte wie

Citrix ADC (NetSacler)
Citrix ADM (Citrix MAS)
Citrix Gateway
Citrix Hypervisor (XenServer)
Citrix ShareFile Storage Zones Controller
Citrix Workspace App
App Layering, Delivery Controller, Director, FAS, HDX, Profile Management, PVS, Session Recording, Storefront, Studio, Windows VDA, WEM
Citrix License Server
Citrix SD-WAN

sind nicht von der Schwachstelle betroffen.

Die folgenden Produkte sind bei Citrix noch in der Überprüfung:

Citrix Endpoint Management (Citrix XenMobile Server)
Citrix Virtual Apps and Desktops (XenApp & XenDesktop) alle anderen Komponenten

Bei Verwendung der Citrix Web Application Firewall auf dem Citrix ADC (NetScaler) können Applikationen mittels der Web Application Firewall Signaturen gegen diese Schwachstelle geschützt werden. Dazu müssen die Signaturen von Hand aktualisiert werden:

Aktivieren der Signaturen:

Als Alternative, wenn das AppFW Feature nicht lizensiert wurde, kann der Schutz auch mittels Responser Policies gewährleistet werden, hierzu gibt es den folgenden GitHub Eintrag, welcher von den Mitgliedern des Citrix PTEC zur Verfügung gestellt wurde:
https://github.com/mbp-netscaler/ADC

Die Application Firewall Signaturen und die Responder Policies bieten aber keine 100% Sicherheit, daher wird empfohlen, log4j zu aktualisieren oder mindestens den folgenden Eintrag zu setzen: “log4j2.formatMsgNoLookups” auf “true” zu setzen.

https://github.com/Puliczek/CVE-2021-44228-PoC-log4j-bypass-words

NetScaler Kerberos Authentication funktioniert nach dem Windows Update 2021-11 nicht mehr

by Eckart Gutzeit | Nov 12, 2021 | ALARM

Kunden die auf ihrem NetScaler Kerberos verwenden, bekommen nach dem Nov. Update ein Problem. Kerberos mit dem NetScaler funktioniert danach nicht mehr.

Microsoft aktiviert mit dem Update einen neuen Security Mechanismus, s. https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041, mit dem der NetScaler aktuell nicht umgehen kann.

Folglich funktionieren KCD und Kerberos Impersonation nicht mehr.

Das Deaktivieren der neuen Sicherheitsrichtlinie via Registry Key hilft nicht. Momentan bleibt einzig ein Rollback des Windows Updates auf den Stand 2021-10.

Momentan existiert noch keine Lösung. Bis auf weiteres sollten Kunden das Nov. Update nicht auf den Domain Controllern einspielen, wenn sie Kerberos via NetScaler benötigen.

~~Sobald eine Lösung existiert, wird dieser Artikel aktualisiert.~~

UPDATE:

Microsoft hat ein Out-of-Band Update bereitgestellt, welches die genannten Probleme behebt. Dieses Update wird allerdings NICHT via Windows Update verteilt, sondern steht nur im Microsoft Update Catalog zum Download bereit. Es muss also manuell heruntergeladen und auf den Domain Controllern installiert werden. Direkte Download Links sind hier zu finden:

The complete list of out-of-band updates released by Microsoft over the weekend includes:

Windows Server 2019: KB5008602 — DOWNLOAD
Windows Server 2016: KB5008601 — DOWNLOAD
Windows Server 2012 R2: KB5008603 — DOWNLOAD
Windows Server 2012: KB5008604 — DOWNLOAD
Windows Server 2008 R2 SP1: KB5008605 — DOWNLOAD
Windows Server 2008 SP2: KB5008606 — DOWNLOAD

« Older Entries

Next Entries »