「Windows LSA」の脆弱性、米CISAが改めてパッチ適用を勧告

Liam Tung (ZDNET.com) 翻訳校正: 編集部2022年07月06日 12時49分

 米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間7月1日、米連邦機関などに対して、Microsoftによる5月の月例セキュリティパッチ「Patch Tuesday」で引き起こされていた「Windows」の問題に対処するパッチの適用を求める勧告を発表した。

 CISAは同日、Windowsに潜んでいる脆弱性「CVE-2022-26925」を「既知の悪用された脆弱性カタログ」(KEV)にあらためて追加し、7月22日までにパッチを適用するようこれら機関に対して命じた。

 この問題はWindowsの「Local Security Authority」(LSA)に存在している「なりすましを許す脆弱性であり、『NT Lan Manager』(NTLM)を使用する攻撃者はこれによってドメインコントローラーに自らを認証するよう強制できるようになる」とCISAは説明している。

 NTLMは、Microsoftが「Windows 2000」で実装していた「Active Directory」用のレガシー認証プロトコルだ。LSAを用いることでアプリケーションは、ローカルシステムに対するユーザーの認証とログオンが可能になる。

 CISAは、ドメインコントローラーとして使用しているWindowsサーバー、つまりユーザー認証に使用しているWindowsサーバーに対する5月の月例アップデートを適用すると、ログインに問題が発生する可能性があるという理由で、5月15日にKEVから一時的にCVE-2022-26925を除外していた

 このアップデートは、多くの機関でユーザーをログイン不能な状態にする可能性がある上、ロールアウトが複雑なフィックスともなっている。

 CISAは7月1日、CVE-2022-26925に対するパッチの適用について別途ガイダンスを発表した。このパッチには、5月の月例パッチで対処された2つの関連する脆弱性、すなわちドメインサービスであるActive Directoryに潜む特権昇格の脆弱性「CVE-2022-26923」と、「Windows Kerberos」に潜む特権昇格の脆弱性「CVE-2022-26931」に対する修正も含まれている(KerberosはActive Directoryにおいて、NTMLの後継となる認証機構だ)。

 ただ、CISAも説明しているように、これら(5月)のパッチによって、認証にPersonal Identity Verification(PIV)/Common Access Card(CAC)証明書を使用している「多くの連邦機関」でログインが失敗するようになった。この問題は、5月の月例パッチを適用した後に、Active Directoryが「証明書とアカウントの強い結びつき」を見つけ出そうとすることに起因している。

 このためCISAは、ドメインコントローラー上に2つのレジストリーキーを設定する手順を示し、ログイン問題を回避するよう推奨している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]