CVE-2022-26925は、Windowsセキュリティの中央コンポーネント(Windows内の「ローカルセキュリティ機関」プロセス)の弱点であり、悪用されると、攻撃者が中間者攻撃を実行して、ドメインコントローラに認証を強制することができます。 NTLM認証を使用する攻撃者。 NTLMリレー攻撃と組み合わせて使用すると、リモートでコードが実行される可能性があります。
Microsoftによると、「認証されていない攻撃者はLSARPCインターフェイスでメソッドを呼び出し、ドメインコントローラーにNTLMを使用して攻撃者に認証するように強制する可能性があります。」
Microsoftは、この脆弱性を重要と評価し、CVSS(危険)スコア8.1(10が最悪)を割り当てましたが、特定の状況ではCVSSスコアが9.8に達する可能性があるとMicrosoftは指摘しています。
攻撃者がこの脆弱性を利用するには、中間者攻撃を実行するために、クライアントとリソース間の論理ネットワークパスにアクセスできる必要があります。
Microsoftによると、「このバグはサポートされているすべてのバージョンのWindowsに影響しますが、他のサーバーを更新する前に、ドメインコントローラーに優先的にパッチを適用する必要があります。」
ドメインコントローラであり、NTLMリレー攻撃に対して脆弱なデバイスでこの脆弱性の修正を優先するために特別な努力を払う必要があります。これらのデバイスの脆弱性の重大度は9.8と高くなっています。
次のActiveDirectory証明書サービス(AD CS)コンポーネントが存在する場合、ドメインコントローラーはNTLMリレー攻撃に対して潜在的に脆弱です。
- 認証局のWeb登録
- 証明書登録Webサービス
次の方法を使用して、前述のサービスがWindowsServerに存在するかどうかを識別できます。
- PowerShellプロンプトを開き、次のコマンドを実行します。
Get-WindowsFeature *ad-certificate*, *adcs*
結果で「ActiveDirectory証明書サービス」が選択され、「認証局Web登録」または「認証局Webサービス」のいずれかが選択されている場合、サーバーはこの攻撃のリスクが高くなる可能性があります。
Rackspace Technologyは、次のアクションを強くお勧めします。
1-このリンクで推奨されているように、Microsoftから2022年5月のパッチをインストールします:
- Rackspace Technologyのパッチ適用ソリューションに加入しているお客様の場合、関連するパッチは通常のパッチ適用スケジュールで適用されます。
- Rackspace Technologyのパッチ適用ソリューションに加入していないお客様は、できるだけ早くシステムに完全にパッチを適用することを強くお勧めします。お客様は、システムにパッチを適用するか、Rackspaceに連絡してパッチ適用の支援を受けることができます。パッチ適用のリクエストに対応するためにあらゆる努力をします。
2-「ActiveDirectory証明書サービス」の役割と関連サービス(「認証局Web登録」または「認証局Webサービス」)がインストールされているが、これらの役割を使用していない場合は、Microsoftが提供するこれらの手順を使用して役割をアンインストールします。
Microsoftによると、「2022年5月10日にリリースされたアップデートをドメインコントローラーにインストールした後、ネットワークポリシーサーバー(NPS)、ルーティングとリモートアクセスサービス(RRAS)、Radius、Extensibleなどのサービスのサーバーまたはクライアントで認証エラーが発生する場合があります。認証プロトコル(EAP)、および保護された拡張認証プロトコル(PEAP)。証明書のマシンアカウントへのマッピングがドメインコントローラーによってどのように処理されているかに関連する問題が見つかりました。」
2022年5月の更新プログラムのインストール後に認証の問題が発生した場合、Microsoftはこのリンクで詳しく説明されている帯域外修正を提供しています。
この脆弱性に関してさらに情報や支援が必要な場合は、サポートチケットを発行するか、Rackspaceサポートチームに連絡してください。
コメントや質問をするには、[フィードバック]タブを使用します。私たちと会話を始めることもできます。