ActiveDirectoryドメインサービスの特権昇格の脆弱性対応で気を付けること(その1)
今回の記事は2022年2月時点で調査段階であり、一部明確な情報が確認できていない内容も含まれていますので閲覧いただく際は、ご注意ください。
2022年3月9日に「ActiveDirectoryドメインサービスの特権昇格の脆弱性対応で気を付けること(その2)」を追記しました。参考にしてください。
ActiveDirectoryドメインサービスの特権昇格の脆弱性
ActiveDirectoryドメインサービスの特権昇格の脆弱性対応について、Microsoft社から以下の情報が公開されています。
CVE-2021-42278 セキュリティ上の脆弱性
https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2021-42278
CVE-2021-42278 セキュリティ上の脆弱性
https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2021-42287
脆弱性について簡単に説明しますと CVE-2021-42278、CVE-2021-42287 の2つの脆弱性を組み合わせることで、ドメインユーザーの資格情報を持つ攻撃者が、ドメイン管理者権限を不正に取得できる可能性があるというものです。
対応方法
対応方法は、2021年11月に公開されたWindowsUpdateを適用してから手動で PacRequestorEnforcement レジストリキーを作成し、値を強制モード(2)へ変更すれば完了です。
手動で PacRequestorEnforcement レジストリキーを作成しなくても現在の予定では、2022年7月に公開されるWindowsUpdateを適用すれば、自動的(強制的)に強制モードへ変更され、対応が完了します。
KB5008380 – 認証の更新プログ
https://support.microsoft.com/ja-jp/topic/kb5008380-%E8%AA%8D%E8%A8%BC%E3%81%AE%E6%9B%B4%E6%96%B0%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041
気を付けること(内容調査中)
ここまで読んでいただいて何が問題なのだろうと感じた方もいらっしゃると思います。
ある程度定期的にドメインコントローラーへWindowsUpdateを適用している場合は特に気にする必要はないのですが、様々な理由で年に1~2回しかWindowsUpdateを適用していない場合は、その適用時期によっては大きな問題になる可能性があります。
何が問題かと言いますと何も準備をしてない状態でドメインコントローラーへ2022年7月のWindowsUpdateを適用すると適用後からドメインコントローラーで認証できなくなる可能性があるということです。
「ドメインコントローラーで認証できない」となると管理者としては想像を絶する状況かと思います。
引き続き調査、できれば検証も実施したいと考えていますので詳細については、ActiveDirectoryドメインサービスの特権昇格の脆弱性対応で気を付けること(その2)をお待ちください。
