Windows-klienter drabbade av problem med TPM chip efter ClearPass 6.11

jun 1, 2023

Aranya har i arbetet med att installera ClearPass 6.11 hos kunder stött på ett problem som uppstår för vissa specifika datorer när vissa förutsättningar är uppfyllda. Problemet gör att datorerna inte kan autentisera till nätverket. Nedan beskriv problemet och hur det går att komma runt på olika sätt.

Bakgrund

ClearPass 6.11 bygger på ett nytt underliggande operativsystem, RedHat Enterprise Linux (RHEL), och kräver därför en ominstallation av servern om det är en fysisk server eller att en ny server sätts upp om den är virtuell.

RHEL har valts eftersom den tidigare CentOS versionen närmade sig end of life och hade behövt ersättas i vilket fall som helst med ett nytt OS. Med RHEL får Aruba bättre möjligheter att bygga en säker plattform. I ClearPass 6.11 introduceras ett antal nya funktioner och en av dessa är att en kryproalgoritm kallad PSS RSA introduceras i ClearPass 6.11. Denna algoritm har funnits i Windows en längre tid men inte använts eftersom ClearPass inte haft stöd för denna algoritm.

Nu när ClearPass har stöd för PSS RSA kommer datorn välja den algoritmen. Dock har det visat sig att ett antal, främst äldre, datorer har ett TPM chip som har en firmware version som har en bug som gör att signeringen inte fungerar som den ska.

Problemen uppstår när följande faktorer är uppfyllda:
– Dator med Windows 10 & 11
– Certifikat i TPM chip
– TPM 2.0
– TPM Sub version 1.16
– ClearPass 6.11

Teknisk beskrivning av problemet och felsymptom

Under EAP fasen av autentiseringen handskakar klienten och ClearPass vilken algoritm som ska användas och kommer överens om att PSS RSA är den bästa gemensamma algoritmen. Om certifikatet sparats i TPM chippet och TPM sub versionen är 1.16 finns det ett fel i den mjukvaruversionen som gör att den hash som skapas endast innehåller nollor i stället för den korrekta hashen.

TPM sub versionen kan på vissa datorer uppdateras, men vissa saknar nyare versioner för det specifika TPM chippet. Dessa datorer kan alltså inte uppdateras för att lösa problemet. I dessa fall behöver datorerna antingen ersättas eller algoritmen avaktiveras.

Problemet finns beskrivet i release notes för ClearPass 6.11 som ett känt fel med referensnummer CP‑49353.

Symptom

Från ClearPass är det tydligaste symptomet att vissa klienter inte kan autentisera och felmeddelandet är detta i Access Tracker:

Error Code:215
Error Category:Authentication failure
Error Message:TLS session error
 Alerts for this Request  RADIUS EAP-TLS: fatal alert by server – decrypt_error
TLS Handshake failed in SSL_read with error:0407E086:rsa routines:RSA_verify_PKCS1_PSS_mgf1:last octet invalid
eap-tls: Error in establishing TLS session
Skärmbild av ClearPass Access Tracker med det aktuella felmeddelandet.

På klienten är symptomet att den inte lyckas autentisera till nätverket och därmed blir avskuren från all kommunikation.

Workaround

Från ClearPass kan inget göras åt problemet för närvarande då det är ett klientrelaterat problem. Dock har en feature request skickats till Aruba om att få en möjlighet att avaktivera PSS RSA med en inställning i det administrativa gränssnittet och Aruba har svarat att de tittar på vilka möjligheter det finns.

För klientdatorerna som är drabbade av detta problem är lösningen att antingen uppdatera TPM sub version till en högre version än 1.16 om det finns tillgängligt för den specifika datormodellen.

Om det inte finns till den aktuella datormodellen behöver PSS RSA avaktiveras på klientsidan. Detta görs enklast med en GPO om det är en domänansluten dator. Alternativt att inställningarna distribueras på annat sätt.

Eftersom klienten inte kommer att komma åt nätet om den är drabbad av denna bugg, bör fixen appliceras innan autentiseringen börjar skötas av ClearPass 6.11.

Om problemet upptäcks först senare kan ändringarna kan även göras manuellt eller med script med en användare med lokal admin-behörighet.

Avaktivera PSS RSA i Windows

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010003
Ta bort följande värden:
RSAE-PSS/SHA256
RSAE-PSS/SHA384
RSAE-PSS/SHA512

Skärmbild av Registry Editor som visar vilken nyckel som ska modifieras.