更新あり
2023 年 4 月 10 日: 「CVE-2022-37967 に対処するための更新のタイミング」セクションの 2023 年 4 月 11 日から 2023 年 6 月 13 日の「第 3 のデプロイ フェーズ」を更新しました。
この資料の内容
概要
2022 年 11 月 8 日の Windows 更新プログラムは、特権属性証明書 (PAC) 署名を使用して、セキュリティのバイパスと特権の昇格の脆弱性に対処します。 このセキュリティ更新プログラムは、攻撃者が PAC 署名をデジタルで変更して特権を引き上げる可能性がある Kerberos の脆弱性に対処します。
環境をセキュリティで保護するために、Windows ドメイン コントローラーを含むすべてのデバイスにこの Windows 更新プログラムをインストールしてください。 更新プログラムを強制モードに切り替える前に、ドメイン内のすべてのドメイン コントローラーを最初に更新する必要があります。
この脆弱性の詳細については、「CVE-2022-37967」を参照してください。
対処方法
環境を保護し、停止を防ぐために、次の手順を実行することをお勧めします:
-
2022 年 11 月 8 日以降にリリースされた Windows 更新プログラムを使用して、Windows ドメイン コントローラーを更新します。
-
[レジストリ キーの設定] セクションを使用して、Windows ドメイン コントローラーを監査モードに移動します。
-
環境をセキュリティで保護するために監査モード中に提出されたモニターイベント。
-
有効にする環境で CVE-2022-37967 に対処するための強制モード。
注2022 年 11 月 8 日以降にリリースされた更新プログラムをインストールする手順 1 は、既定では、Windows デバイスの CVE-2022-37967 のセキュリティの問題には対処していません。 すべてのデバイスのセキュリティの問題を完全に軽減するには、すべての Windows ドメイン コントローラーでできるだけ早く監査モード (手順 2 で説明) の後に強制モード (手順 4 で説明) に移動する必要があります。
重要 2023 年 7 月以降、強制モードはすべての Windows ドメイン コントローラーで有効になり、準拠していないデバイスからの脆弱な接続がブロックされます。 その時点で更新プログラムを無効にすることはできませんが、監査モードの設定に戻ることはできます。 「Kerberos の脆弱性に対処するための更新プログラム CVE-2022-37967 のタイミング」 セクションで説明されているように、監査モードは 2023 年 10 月に削除されます。
CVE-2022-37967 に対処するための更新プログラムのタイミング
更新は、2022 年 11 月 8 日以降にリリースされた更新プログラムの初期フェーズと、2023 年 6 月 13 日以降にリリースされた更新プログラムの強制フェーズでリリースされます。
最初の展開フェーズは 2022 年 11 月 8 日にリリースされた Windows 更新プログラムから始まり、その後の強制フェーズの Windows 更新プログラムに続きます。 この更新プログラムで、Kerberos PAC バッファーに署名が追加されますが、認証中に署名は確認されません。 そのため、セキュリティ モードは既定で無効になっています。
この更新プログラム:
-
Kerberos PAC バッファーに PAC 署名を追加します。
-
Kerberos プロトコルのセキュリティ バイパスの脆弱性に対処するための対策を追加します。
2 番目の展開フェーズは、2022 年 12 月 13 日にリリースされた更新プログラムから始まります。 これらの更新プログラム以降では、Windows ドメイン コントローラーを監査モードに移行することで、Windows デバイスを監査するために Kerberos プロトコルが変更されます。
この更新プログラムでは、すべての デバイス が既定で監査モードになります。
-
署名が見つからないか無効な場合は、認証が許可されます。 さらに、監査ログが作成されます。
-
署名がない場合は、イベントを発生させ、認証を 許可します。
-
署名が存在する場合は、検証します。 署名が正しくない場合は、イベントを発生させ、認証を許可します。
2023 年 6 月 13 日以降にリリースされる Windows 更新プログラムでは、次の処理が行われます。
-
KrbtgtFullPacSignature サブキーを値 0に設定して、PAC 署名の追加を無効にする機能を削除します。
2023 年 7 月 11 日以降にリリースされる Windows 更新プログラムでは、次の処理が行われます。
-
KrbtgtFullPacSignature サブキーの値 1 を設定する機能を削除します。
-
管理者が明示的な監査設定でオーバーライドできる適用モード (既定) (KrbtgtFullPacSignature = 3) に更新情報を移動します。
2023 年 10 月 10 日以降にリリースされた Windows 更新プログラムでは、次の処理が行われます。
-
レジストリ サブキー KrbtgtFullPacSignature のサポートを削除します。
-
監査モードのサポートを削除します。
-
新しい PAC 署名のないすべてのサービス チケットは認証を拒否されます。
展開のガイドライン
2022 年 11 月 8 日以降の Windows 更新プログラムを展開するには、次の手順に従います:
-
2022 年 11 月 8 日以降にリリースされた更新プログラムで Windows ドメイン コントローラーを 更新します。
-
[レジストリ キーの設定] セクションを使用して、ドメイン コントローラーを監査モードに移動します。
-
環境のセキュリティ保護に役立つ監査モード中に提出されたモニター フィールド イベント。
-
有効にする 環境で CVE-2022-37967 に対処するための強制モード。
手順 1: 更新
2022 年 11 月 8 日以降の更新プログラムを、該当するすべての Windows ドメイン コントローラー (DC) に展開します。 更新プログラムを展開後、更新された Windows ドメイン コントローラーには Kerberos PAC バッファーに署名が追加され、既定では安全ではありません (PAC 署名は検証されません)。
-
更新中は、すべての Windows ドメイン コントローラーが更新されるまで 、KrbtgtFullPacSignature レジストリ値を既定の状態のままにしてください。
手順 2: 移動
Windows ドメイン コントローラーが更新されたら、KrbtgtFullPacSignature 値を 2 に変更して監査モードに切り替えます。
手順 3: 検索/モニター
PAC 署名がないか、監査モード中にトリガーされたイベント ログによって検証に失敗する PAC 署名がある領域を特定します。
-
強制モードに移行する前に、ドメインの機能レベルが少なくとも 2008 以上に設定されていることを確認します。 2003 ドメイン機能レベルのドメインを使用して強制モードに移行すると、認証エラーが発生する可能性があります。
-
ドメインが完全に更新されていない場合、または以前に発行された未処理のサービス チケットがまだドメインに存在する場合、監査イベントが表示されます。
-
PAC 署名がないか、または既存の PAC 署名の検証エラーを示す追加のイベント ログの監視を続行します。
-
ドメイン全体が更新され、未処理のチケットがすべて期限切れになると、監査イベントは表示されなくなります。 その後、失敗なしで強制モードに移行できます。
手順 4: 有効にする
適用モードを有効にして、環境内の CVE-2022-37967 に対処します。
-
すべての監査イベントが解決され、表示されなくなったら、「レジストリ キーの設定」セクションの説明に従って KrbtgtFullPacSignature レジストリ値を更新して、ドメインを強制モードに移行します。
-
サービス チケットに無効な PAC 署名がある場合、または PAC 署名がない場合、検証は失敗し、エラー イベントがログに記録されます。
レジストリ キーの設定
Kerberos プロトコル
2022 年 11 月 8 日以降の日付の Windows 更新プログラムがインストールされると、Kerberos プロトコルで次のレジストリ キーを使用できるようになります:
-
KrbtgtFullPacSignature
このレジストリ キーは、Kerberos の変更の展開をゲートするために使用されます。 このレジストリ キーは一時的なキーであり、2023 年 10 月 10 日の完全な適用日以降は読み取られなくなります。レジストリ キー
HKEY_LOCAL_MACHINE\System\currentcontrolset\services\kdc
値
KrbtgtFullPacSignature
データの種類
REG_DWORD
データ
0 – 無効
1 – 新しい署名は追加されますが、検証されません。 (既定の設定)
2 - 監査モード。 新しい署名が追加され、存在する場合は検証されます。 署名が見つからないか無効な場合は、認証が許可され、監査ログが作成されます。
3 - 強制モード。 新しい署名が追加され、存在する場合は検証されます。 署名が見つからないか無効な場合、認証は拒否され、監査ログが作成されます。
再起動が必要ですか?
X
注 レジストリ値 KrbtgtFullPacSignature を変更する必要がある場合には、既定値をオーバーライドするようにレジストリ キーを手動で追加してから構成してください。
CVE-2022-37967 に関連する Windows イベント
監査モードでは、PAC 署名が見つからないか無効な場合、次のいずれかのエラーが発生する可能性があります。 強制モード中にこの問題が続く場合、これらのイベントはエラーとしてログに記録されます。
デバイスでいずれかのエラーが見つかると、ドメイン内のすべての Windows ドメイン コントローラーが、2022 年 11 月 8 日以降の Windows 更新プログラムで最新の状態にならない可能性があります。 問題を軽減するには、ドメインをさらに調査して、最新ではない Windows ドメイン コントローラーを見つける必要があります。
注 イベント ID 42 でエラーが発生した場合は、「KB5021131: CVE-2022-37966 に関連する Kerberos プロトコルの変更を管理する方法」を参照してください。
イベント ログ |
System |
イベント タイプ |
警告 |
イベント ソース |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
イベント ID: |
43 |
イベント テキスト |
キー配布センター (KDC) で、 完全な PAC 署名を検証できないチケットが検出されました。 詳細については、「https://go.microsoft.com/fwlink/?linkid=2210019」を参照してください。 クライアント: /<領域>/<名前> |
イベント ログ |
System |
イベント タイプ |
警告 |
イベント ソース |
Microsoft-Windows-Kerberos-Key-Distribution-Center |
イベント ID: |
44 |
イベント テキスト |
キー配布センター (KDC) で、完全な PAC 署名が含まれていないチケットが検出されました。 詳細については、「https://go.microsoft.com/fwlink/?linkid=2210019」を参照してください。 クライアント: /<領域>/<名前> |
Kerberos プロトコルを実装するサード パーティ製デバイス
サード パーティのドメイン コントローラーを持つドメインでは、強制モードでエラーが表示される場合があります。
サードパーティのクライアントを持つドメインは、2022 年 11 月 8 日以降の Windows 更新プログラムのインストール後に監査イベントが完全にクリアされるまでに時間がかかる場合があります。
ソフトウェアが最新のプロトコル変更と互換性があるかどうかを判断するには、デバイスの製造元 (OEM) またはソフトウェア ベンダーに問い合わせてください。
プロトコル更新プログラムの詳細については、Microsoft Web サイトの Windows プロトコルのトピックを参照してください。
用語集
Kerberos は、"チケット" に基づいて動作するコンピューター ネットワーク認証プロトコルであり、ネットワーク経由で通信するノードがセキュリティで保護された方法で相互に ID を証明できるようにします。
Kerberos プロトコルで指定されたサービスを許可する認証とチケットを実装する Kerberos サービス。 サービスは、領域またはドメインの管理者によって選択されたコンピューターで実行されます。ネットワーク上のすべてのマシンに存在するわけではありません。 サービスを提供する領域のアカウント データベースにアクセスできる必要があります。 KDC は、ドメイン コントローラー ロールに統合されます。 これは、サービスへの認証に使用するチケットをクライアントに提供するネットワーク サービスです。
特権属性証明 (PAC) は、ドメイン コントローラー (DC) によって提供される承認関連情報を伝達する構造です。 詳細については、「特権属性証明の構造」を参照してください。
他のチケットを取得するために使用できる特別な種類のチケット。 チケット付与チケット (TGT) は、認証サービス (AS) 交換での最初の認証の後に取得されます。その後、ユーザーは資格情報を提示する必要はありませんが、TGT を使用して後続のチケットを取得できます。