CISA warns not to install May Windows updates on domain controllers
2022/05/16 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、May 2022 Patch Tuesday の更新プログラムが引き起こす Active Directory (AD) 認証の問題を考慮し、この Windows セキュリティ不具合を、KEV (Known Exploited Vulnerabilities) カタログから一時的に削除した。
この脆弱性 CVE-2022-26925 は、Windows LSA スプーフィング・ゼロデイで積極的に悪用されているものであり、新しい PetitPotam Windows NTLM Relay 攻撃ベクターとして確認されたものである。脆弱性 CVE-2022-26925 の悪用に成功したし未認証の攻撃者は、Windows NT LAN Manager (NTLM) セキュリティ・プロトコルを介して、ドメイン・コントローラをリモートで認証させ、おそらく、Windowsドメイン全体を制御することが可能となる。
May 2022 Patch Tuesday のセキュリティ更新と AD 認証の問題
Microsoft は、May 2022 Patch Tuesday において、この脆弱性 CVE-2022-26925 を含む 74件のセキュリティ欠陥に対応している。しかし、Windows Kerberos および Active Directory Domain Services の、2つの特権昇格の脆弱性 CVE-2022-26931/CVE-2022-26923 に対するパッチも含めて、Windows Serverドメイン・コントローラに導入すると、サービス認証に問題が生じることになる。
CISA においては、Known Exploited Vulnerability から削除される前の段階で、一連の脆弱性は 2022年6月1日までに、すべての連邦民間行政機関 (FCEB) において、セキュリティ更新プログラムの適用が義務付けられていた。
Microsoft は Patch Tuesday において、それぞれのセキュリティ問題ごとに個別のインストーラーを提供しなくなり、管理者はセキュリティ更新プログラムのうち1つだけを、つまり、新しい PetitPotam 攻撃ベクターに対応するものだけを選択して、インストールできなくなっている。したがって、May 2022 Patch Tuesday のセキュリティ更新プログラムをインストールすると、AD 認証の問題が誘発されることになる。
CISA の指摘は、「2022年5月10日にリリースされた更新プログラムを。クライアント Windows デバイスと非ドメイン・コントローラ Windows Server にインストールしても、この問題は発生しないため、その対応は推奨される。この問題は、ドメイン・コントローラーとして使用されているサーバーにインストールされた、2022年5月10日の更新プログラムのみに影響する。それぞれの組織は、クライアント Windows デバイスと非ドメイン・コントローラの Windows Server への、更新プログラムの適用を継続する必要がある」というものだ。
認証の問題に対するワークアラウンドが利用可能
May 2022 Patch Tuesday のセキュリティ更新プログラムを、インストールすることで引き起こされる AD 認証の問題に対処するために、Microsoft は Active Directory のマシン・アカウントに、証明書を手動でマッピングすることを推奨している。
「推奨される緩和策が、使用中の環境で機能しない場合には、SChannel レジストリキー・セクションにおける、その他の利用可能な緩和策として、KB5014754-Certificate-based authentication changes on Windows domain controllers を参照してほしい」と同社は述べている。この緩和策以外の対応では、セキュリティの低下や無効化につながる可能性がある。
ただし、Windows 管理者には、この既知の問題の影響を受けるユーザーの認証を復元するための、他の方法も存在する。そのうちの1つは、StrongCertificateBindingEnforcement キーを “0” に設定し、無効にすることである。システムのレジストリで設定できない場合には、REG_DWORD データ型を使用して最初から作成し、値を ”0″ に設定し、証明書マッピング・チェックを無効にできる。Microsoft では、それを推奨できないが、この方式が、すべてのユーザーを許可する唯一の方法である。
PetitPotam Windows NTLM Relay に関しては、5月14日の「Microsoft を悩ます PetitPotam Windows NTLM リレー攻撃:完全な FIX には時間が必要?」にもあるように、ちょっとした混乱が生じているようです。それに加えて、脆弱性 CVE-2022-26925 に対して、Patch Tuesday 2022 May を適用すると、対象が Windows Server ドメインコントローラーのケースにおいて AD 認証に問題が生じるようです。そのため、CISA の悪用脆弱性リストから CVE-2022-26925 は削除されています。御難続きの CVE-2022-26925 ですね。
IoT OT Security News 