米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間7月1日、米連邦機関などに対して、Microsoftによる5月の月例セキュリティパッチ「Patch Tuesday」で引き起こされていた「Windows」の問題に対処するパッチの適用を求める勧告を発表した。
CISAは同日、Windowsに潜んでいる脆弱性「CVE-2022-26925」を「既知の悪用された脆弱性カタログ」(KEV)にあらためて追加し、7月22日までにパッチを適用するようこれら機関に対して命じた。
この問題はWindowsの「Local Security Authority」(LSA)に存在している「なりすましを許す脆弱性であり、『NT Lan Manager』(NTLM)を使用する攻撃者はこれによってドメインコントローラーに自らを認証するよう強制できるようになる」とCISAは説明している。
NTLMは、Microsoftが「Windows 2000」で実装していた「Active Directory」用のレガシー認証プロトコルだ。LSAを用いることでアプリケーションは、ローカルシステムに対するユーザーの認証とログオンが可能になる。
CISAは、ドメインコントローラーとして使用しているWindowsサーバー、つまりユーザー認証に使用しているWindowsサーバーに対する5月の月例アップデートを適用すると、ログインに問題が発生する可能性があるという理由で、5月15日にKEVから一時的にCVE-2022-26925を除外していた。
このアップデートは、多くの機関でユーザーをログイン不能な状態にする可能性がある上、ロールアウトが複雑なフィックスともなっている。
CISAは7月1日、CVE-2022-26925に対するパッチの適用について別途ガイダンスを発表した。このパッチには、5月の月例パッチで対処された2つの関連する脆弱性、すなわちドメインサービスであるActive Directoryに潜む特権昇格の脆弱性「CVE-2022-26923」と、「Windows Kerberos」に潜む特権昇格の脆弱性「CVE-2022-26931」に対する修正も含まれている(KerberosはActive Directoryにおいて、NTMLの後継となる認証機構だ)。
ただ、CISAも説明しているように、これら(5月)のパッチによって、認証にPersonal Identity Verification(PIV)/Common Access Card(CAC)証明書を使用している「多くの連邦機関」でログインが失敗するようになった。この問題は、5月の月例パッチを適用した後に、Active Directoryが「証明書とアカウントの強い結びつき」を見つけ出そうとすることに起因している。
このためCISAは、ドメインコントローラー上に2つのレジストリーキーを設定する手順を示し、ログイン問題を回避するよう推奨している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。