※※ 2024/10/09 更新
※※ 既定で強制フェーズのスケジュール延期に伴い、更新を行いました。
本記事はマイクロソフト社員によって公開されております。
こんにちは。Windows Commercial Support Directory Services チームです。
2024 年 4 月にリリースされた更新プログラムでは CVE-2024-26248, CVE-2024-29056 への脆弱性対応が含まれており、こちらについてご説明させていただきます。
// 本脆弱性に関する公開情報
KB5037754: CVE-2024-26248 および CVE-2024-29056 に関連する PAC 検証の変更を管理する方法
CVE-2024-26248, CVE-2024-29056 の脆弱性対応について
Kerberos 認証において利用されるチケットの中には、認証要求元の権限情報等が含まれる PAC (Privileged Attribute Certificate) と呼ばれる領域が存在し、チケットの提示を受けたサービス側では、この PAC の情報を基に利用者に与えられた権限を判断いたします。
ユーザーのなりすましを防止する目的で、PAC が改ざんされたものではないかを検証する処理 (PAC 検証) が行われますが、この PAC 検証の処理に関して脆弱性が確認されました。
本脆弱性に対し、2024 年 4 月にご提供する更新プログラムから、2025 年 4 月(予定) にご提供する更新プログラムにかけて、段階的に対応を実施いたします。
本脆弱性への対処は、以下のように 3 フェーズの段階を経て実施する予定となっております。
1) 2024 年 4 月 9 日:初期展開フェーズ (互換モード)
2024 年 4 月の更新プログラムを適用することで、本脆弱性への対応が追加されますが、環境内のドメイン コントローラー・リソース サーバーの両方に適用されない限り、実動作には反映されません。
更新プログラムの適用により、更新未適用の PAC 検証に関与するコンピューターが存在する場合、警告のイベント ログが記録されるようになります。
2) 2025 年 1 月 7 日:既定で強制フェーズ
2025 年 1 月の更新プログラムを適用することで、レジストリ PacSignatureValidationLevel(※) が 3、CrossDomainFilteringLevel(※) が 4 の状態となり、
本脆弱性対応の動作が強制される状態となります。
ただし、管理者によって PacSignatureValidationLevel・CrossDomainFilteringLevel のレジストリを 2 とすることで、互換モードの状態とすることが可能です。
3) 2025 年 4 月 8 日:強制フェーズ
本フェーズに移行すると、レジストリの値に関わらず、脆弱性対応に伴う動作を強制します。
(※) 初期展開フェーズ・既定で強制フェーズにおいては、本脆弱性対応による変更の反映は以下のレジストリにて管理されています。
これらのレジストリは PAC 検証を行うリソース サーバー側が Kerberos チケットを受け取った際に、本脆弱性での対応で追加された新しい PAC 検証の動作を従来の動作もしくは
新しい動作を強制することを制御することが可能となります。
いずれも変更に伴う OS の再起動は不要です。また、本レジストリは PAC 検証を行うリソース サーバー側でのみ有効としていただく必要がございます。
1 | レジストリ キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
1 | レジストリ キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
対処方法の流れについて
本脆弱性に対しては、以下のような流れで対処を行います。
弊社では最新の累積更新プログラムの適用を推奨しておりますので、本脆弱性への対応を行うためにも、全ての環境への最新の累積更新プログラム適用をご検討いただけますようお願いいたします。
即時の対応が困難である場合、対応可能な範囲から強制フェーズへの移行までに更新を進めていただけますようお願いいたします。
以下にご案内する流れに沿って、初期展開フェーズより記録されるようになる監査イベントをご確認いただき、環境への影響の有無や、関与するコンピューターへの更新プログラムの適用状況をご確認ください。
リソース サーバーへ、2024 年 4 月の累積更新プログラムを適用し、通常どおり運用を行います。
リソース サーバーのイベントを監視し、システム イベント ログに、”ソース:Security-Kerberos” “ID:23” の警告イベントが記録されないか確認します。
イベントが記録された場合も、初期展開フェーズでは互換モードとして動作しますので、実動作への影響はございません。イベントが記録された場合、PAC 検証を行うドメイン コントローラーの更新プログラムの適用状況が 2024 年 4 月未満であることを示しています。
以下の条件と照らし合わせ、対象のドメイン コントローラーの更新プログラムの適用状況の確認および、更新プログラムの適用をご検討ください。
(A) 対象のリソース サーバーでホストするアプリケーションのサービス アカウントが自フォレストのアカウントである場合
自フォレストのドメイン コントローラーの更新プログラム適用状況をご確認ください。
(B) 対象のリソース サーバーでホストするアプリケーションのサービス アカウントが信頼関係を結ぶ他フォレストのアカウントである場合
自フォレストのドメイン コントローラーおよび、対象の信頼関係先フォレストのドメイン コントローラーの更新プログラム適用状況をご確認ください。
なお、PAC 検証はリソース サーバーにより処理が開始されますので、リソース サーバーへ 2024 年 4 月の累積更新プログラムが適用されない場合、今回の脆弱性対応における PAC 検証の動作変更が環境内に適用されない状態となります。
このため、リソース サーバーへ 2024 年 4 月以降の更新プログラムが未適用である場合、その他の環境の更新状況に関わらず、上記の “ソース:Security-Kerberos” “ID:23” のイベントはどこにも記録されない状態となります。
この状態から、今後リソース サーバーへ 2025 年 1 月以降の累積更新プログラムが適用された場合、監査イベントによる検知が行えないまま強制モードへ移行してしまい、Kerberos 認証が失敗する状況も想定されます。
現時点でリソース サーバーへの更新プログラム適用が困難であるお客様におかれましても、このような状況が発生することを防止するため、更新プログラム適用の計画について検討を進めていただけますようお願い申し上げます。
影響範囲について
今回の脆弱性対応に伴い PAC 検証の動作が変更されているため、PAC 検証処理に関するコンピューターに更新プログラムを適用する必要がございます。
(現在サポートされている Windows OS すべてが対象となります)
PAC 検証は、Kerberos 認証先であるリソース サーバーがホストするサービスのサービス アカウントが以下の条件を満たしている場合に行われます。
- LocalService / LocalSystem / NetworkService ではない
- “SeTCBPrivilege” (オペレーティング システムの一部として機能) 特権を持たない
段階的な対応が行われるため、2024 年 4 月の時点では Kerberos 認証への影響はございませんが、
既定で強制フェーズとなる 2025 年 1 月(予定)に提供される更新プログラムまでに対応が完了しない場合、
Kerberos 認証が失敗するといった影響が発生する可能性がございます。
脆弱性対応の強制フェーズまでには下記コンピューターを更新していただく必要がございます。
- 上記 PAC 検証の条件を満たすリソース サーバー (Kerberos 認証によってアクセスされるサーバー)
- リソース サーバーが所属するドメインのドメイン コントローラー
- 他フォレストと信頼関係を結んでおり、サービス アカウントとして信頼関係先フォレストのアカウントが指定されている場合、 その信頼関係先フォレストのドメイン コントローラー
追加されたイベントログについて
2024 年 4 月の累積更新プログラムの適用により、追加で記録されるようになるイベントについてご案内いたします。
イベントの詳細については、 KB5037754: CVE-2024-26248 および CVE-2024-29056 に関連する PAC 検証の変更を管理する方法 の “イベント ログ” のセクションをご確認ください。
なお、”ソース:Security-Kerberos” “ID:23” につきましては、互換モードでは警告イベントとして記録され、
2025 年 4 月 8 日 (予定) 以降の強制フェーズ、もしくはレジストリの変更により手動で強制フェーズへ移行した環境においては、エラーイベントとして記録されます。
また、”ソース:Netlogon” “ID:5843” は既定の状態では記録されず、以下のレジストリを 2 としたリソース サーバー・ドメイン コントローラーでのみ記録されます。
1 | レジストリ キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
Kerberos Ticket Logon Action
1 | Event log: システム |
Kerberos Ticket Logon Failure
1 | Event log: システム |
Kerberos Ticket Logon Fallback
1 | Event log: システム |
Netlogon Unexpected Failure
1 | Event log: システム |
Netlogon Unable to Forward
1 | Event log: システム |
既知の不具合について
2024 年 4 月にリリースいたしました累積更新プログラムにて確認されている既知の問題についてご案内いたします。
本更新プログラムには、上述させていただいておりました通り、Kerberos 認証における PAC 検証に関する動作変更が含まれておりますが、この変更に起因して意図しない問題が複数発生することが報告されております。
影響範囲が大きいものとしては下記となります。
[A] lsass.exe のクラッシュ
2024 年 4 月の累積更新プログラムを適用したドメイン コントローラーにて lsass.exe のクラッシュが発生することが報告されております。
これにより、対象のドメイン コントローラーにおいて予期せぬ再起動が発生いたします。
事象が発生したコンピューターでは、アプリケーション イベント ログに “ソース:Application Error” “ID:1000” のイベントが lsass.exe プロセスを対象として記録されます。
[B] NTLM 認証要求の予期せぬ PDC エミュレーターへの転送
2024 年 4 月の累積更新プログラムを適用したドメイン コントローラーにおいて、NTLM 認証の要求が意図せず PDC エミュレーターの役割を持つドメイン コントローラーに転送されてしまう問題が確認されております。
これにより、以下の事象が発生することが確認されております。
・NTLM 認証を利用するリソース サーバーにおける認証の失敗
・PDC エミュレーターの役割を持つドメイン コントローラーの負荷の上昇
また、認証の失敗が発生したリソース サーバーにおいては、システム イベント ログに “ソース:NETLOGON” “ID:5817” のエラー イベントが記録されます。
その他、軽微な不具合も確認されておりますので、それらが全て修正された 2024 年 6 月以降の更新プログラムの適用をご検討いただけますようお願い申し上げます。
参考までに、各 OS に対する修正更新プログラムをご案内いたします。
Windows Server 2022 ( KB5039227 )
Windows Server 2019 ( KB5039217 )
Windows Server 2016 ( KB5039214 )
Windows Server 2012 R2 マンスリー ロールアップ ( KB5039294 )
Windows Server 2012 マンスリー ロールアップ ( KB5039260 )
更新履歴
2024/08/14 : 本ブログの公開
2024/10/09 : 既定で強制フェーズのスケジュールが延期になったため日程を更新