Anticipez le renforcement du protocole NTLM avant le 1er juillet 2023

Suite à la détection d’une vulnérabilité du protocole NTLM, Microsoft va patcher ses Active Directory, afin de pallier cette faille. CVE-2022-38023 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-38023

Le Patch va être déployé sur les serveurs AD et si vous avez une mise à niveau automatique de vos serveurs elle se déroulera selon un calendrier précis :

• 11/04/2023 : Retrait de la possibilité de désactiver le RPC sealing du protocole NTLM
• 11/06/2023 : Passage du patch pour « forcer » le NTLM en sealing, avec possibilité de baisser ce niveau pour continuer à se connecter
• 11/07/2023 : Passage du patch pour retirer le workaround et forcer les connexions NTLM en sealing

Les fonctionnalités ONTAP configurées pour l'authentification de domaine à l'aide de NTLM, par ex. CIFS, Vscan, RBAC, tunnel de domaine, etc. sont concernées.

Les connexions Kerberos, continueront à fonctionner, nous vous conseillons de passer toutes vos connexions CIFS par ce protocole.

Il va falloir patcher vos ONTAP 9, afin d’être conforme à cette nouvelle méthode de connexion CIFS : https://kb.netapp.com/Support_Bulletins/Customer_Bulletins/SU530

La solution pour les ONTAP9.x est de mettre à jour avec les versions suivantes :

• 9.7P22 (published April 11, 2023)
• 9.8P18 (published April 19, 2023)
• 9.9.1P15 (published April 7, 2023)
• 9.10.1P12 (targeted for late April)
• 9.11.1P8 (targeted for late April)
• 9.12.1P2 (published April 10, 2023)

Les DataOntap 7-mode seront aussi impactés, un workaround pour les versions 8.2.5P4 et P5 est possible, mais les versions antérieures ne pourront plus assurer les connexions NTLM (https://kb.netapp.com/Legacy/ONTAP/7Mode/Does_CVE-2022-38023_have_any_impact_to_Data_ONTAP_7-Mode)

Attention, ce workaround ne peut être que temporaire, car ouvre des failles de sécurité supplémentaire.