[MS14-066]SChannel の脆弱性により、リモートでコードが実行される(2014 年 11 月 11 日)

適用対象: Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)Microsoft Windows Server 2003 Datacenter Edition for Itanium-Based SystemsMicrosoft Windows Server 2003 Datacenter x64 Edition

はじめに


この資料に記載されている更新プログラムは、2014 年 12 月 10 日にリリースされた新しい更新プログラムによって置き換えられました。 Windows 用の最新のセキュリティ更新プログラムをインストールすることを推奨します。 最新の更新プログラムをインストールするには、次のマイクロソフト Web サイトを参照してください。 セキュリティ情報 MS14-066 の詳細を参照するには:

このセキュリティ更新プログラムに関するヘルプとサポートを受ける方法

更新プログラムのインストールに関するヘルプ:
Windows Update サポート ページ

IT 専門家のためのセキュリティ ソリューション:
セキュリティに関するトラブルシューティングとサポート

ウイルスとマルウェアから Windows を搭載しているコンピューターを保護する:
ウイルスとセキュリティ サポート ページ

国ごとのローカル サポート:
インターナショナル サポート

詳細情報


2014 年 12 月 10 日、マイクロソフトは、CVE-2014-6321 に包括的に対処し、セキュリティ更新プログラム 2992611 の問題に対処するために MS14-066 を再リリースしました。 Windows Vista または Windows Server 2008 をご利用で、12 月 10 日より前に 2992611 更新プログラムをインストールしていたお客様は、更新プログラムを再適用する必要があります。
 

このセキュリティ更新プログラムの既知の問題

重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 万一に備えて、編集の前にレジストリをバックアップしてください。 問題が発生した場合でも、レジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、以下のマイクロソフト サポート技術情報を参照してください。
 
  • 既知の問題 1

    このセキュリティ更新プログラム (更新プログラム 3000850) をインストールした後で、Windows 8.1 クライアント コンピューターにログオンするドメイン ユーザーで次の問題が発生します。


     
    • Windows Live Mail 2012 で新しいアカウントを追加しようとすると、新しいアカウントが作成されず、次のようなエラー メッセージが表示されます。


       
      エラー 0x80090345
    • リモート デスクトップ接続 (RDC) を使用する場合にパスワードが保存されません。 この問題が発生しても、エラー メッセージは表示されません。
    • 資格情報マネージャーを開くと次のようなエラー メッセージが表示されます。


       
      エラー 0x80090345
    • ファイルを暗号化するときにエクスプローラーが停止 (フリーズ) することがあります。 この問題が発生すると、次のようなログ エントリが Windows パフォーマンス アナライザー (WPA) トレースに表示されます。


       
      Explorer taking ~664 seconds to Encrypt a file. TID #3376.
      This is being serviced by LSASS TID #1488.
      LSASS TID#3848 is executing the sspCryptUnprotectData call which leads into GetMasterKey.
      GetMasterKey is taking ~664 seconds (TimesinceLast). LSASS TID 3848. We spend the whole time waiting on LSASS TID 576 which is performing DCLocator pings to find a DC.
      File Encryption delay/hang is also accounted by the same code change where the backup is required.
    この問題を回避するには、次のレジストリサブキーに、ProtectionPolicy という名前の DWORD 値を追加し、値を 1 に設定します。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb

    この操作を行うと、MasterKey のローカル バックアップが有効になり、RWDC が不要になります。

    これを行うには、次の手順を実行します。


     
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前]ボックスに「regedit」と入力し、[OK] をクリックします。
    2. レジストリで次のサブキーを見つけてクリックします。
       
      HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
    3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
    4. DWORD 値の名前として「ProtectionPolicy」と入力し、Enter キーを押します。
    5. [ProtectionPolicy] を右クリックし、[変更] をクリックします。
    6. [値のデータ] ボックスに「1」と入力し、[OK] をクリックします。
    7. レジストリ エディターを終了し、コンピューターを再起動します。
  • 既知の問題 2

    一部のお客様から Windows Server 2008 R2 および Windows Server 2012 への次の新しい暗号スイートの追加に関連する問題が報告されています。
    TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_RSA_WITH_AES_256_GCM_SHA384
    TLS_RSA_WITH_AES_128_GCM_SHA256
    これらの暗号スイートを短い期間使用するかどうかをお客様が細かく制御できるようにするために、これらの暗号スイートをレジストリの既定の暗号スイートの優先度一覧から削除します。 お客様が暗号スイートの優先度一覧をカスタマイズした場合、この更新を適用した後に一覧を確認し、予想どおりの順序になっていることを確認する必要があります。

    これらの暗号スイートを削除しても、このリリースに含まれるセキュリティ更新プログラムには影響しません。 この目的のために、2014 年 11 月 18 日に、Windows Server 2008 R2 および Windows Server 2012 用のリリースに新しい二次パッケージが追加されました。 この新しいパッケージは更新プログラム 3018238 です。


    Windows 更新プログラム、Windows Server Update Services (WSUS)、および Microsoft カタログに関するメモ

    更新プログラム 3018238 は、セキュリティ更新プログラム 2992611 と共に自動的かつ透過的にインストールされます。 コントロール パネルの [プログラムの追加と削除] でインストールされた更新プログラムの一覧を表示したときには、更新プログラム 3018238 は別に表示されます。 セキュリティ更新プログラム 2992611 が既にインストールされている場合は、更新プログラム 3018238 が確実にインストールされるようにするために、Windows Update または WSUS によってセキュリティ更新プログラム 2992611 が (Windows Server 2008 R2 または Windows Server 2012 にのみ) 再び提供されます。 両方のパッケージを共にインストールする際には、1 回のみ再起動する必要があります。

    ダウンロード センターのお客様へのメモ

    Microsoft ダウンロード センターから Windows Server 2008 R2 または Windows Server 2012 用のこのセキュリティ更新プログラムをダウンロードしてインストールした場合、ダウンロード センターからセキュリティ更新プログラムを再インストールすることをお勧めします。 [ダウンロード] ボタンをクリックすると、更新プログラム 2992611 と 3018238 を選択するように求められます。 たとえば、次のような選択オプションが表示されます。 選択オプション
    2992611 がインストールされている Windows 2008 R2 ベースまたは Windows Server 2012 ベースのコンピューターの場合は、3018238 のみのチェック ボックスをオンにし、[次へ] をクリックして、更新プログラム 3018238 をインストールします。 この更新プログラムを適用すると、再起動が必要になります。


    2992611 がインストールされていない Windows 2008 R2 ベースまたは Windows Server 2012 ベースのコンピューターの場合は、両方のチェック ボックスをオンにして 2992611 と 3018238 をダウンロードしてください。 1 回の再起動で両方の更新プログラムを適用するには、3018238 をインストールし、再起動を求めるメッセージを無視して、2992611 をインストールします。

    注: すべてのユーザーのシナリオで正しく実行されることがコミュニティで確認された場合、3018238 によって削除された暗号スイートが将来のリリースで既定の優先度一覧に再び追加される可能性があります。


    Kerberos 用のセキュリティ更新プログラム 3011780 に関するメモ

    セキュリティ更新プログラム 3011780 (2014 年 11 月 19 日に公開された Kerberos 用のセキュリティ更新プログラムで、資料 MS14-068 で説明されています) は、前に説明したいずれかの配布方法を使用して、更新プログラム 3018238 および 2992611 と同時にインストールされる場合があります。 この方法を使用する場合、1 回のみ再起動する必要があります。
  • 既知の問題 3

    ドメインに参加している Windows 8.1 コンピューターで、DPAPI マスター キー をバックアップするときに、RWDC へのアクセスが必要になります。

    現象

    ドメインに参加している Windows 8.1 コンピューターで、セキュリティ更新プログラム 2992611 または更新プログラム 3000850 をインストールした後、Windows データ保護 API (DPAPI) マスター キーをバックアップするときに、読み取り/書き込みドメイン コントローラー (RWDC) へのアクセスが必要になります。 読み取り専用ドメイン コントローラー (RODC) 対応のサイトにある Windows 8.1 ベースのコンピューターでは、これらの更新プログラムのインストール後に DPAPI マスター キーをバックアップするとエラーが発生します。

    セキュリティ更新プログラム 2992611 または更新プログラム 3000850 をインストールした後で、次のようなエラーや動作が発生することがあります (ただしこれらに限定されません)。
     
    • Windows Live Mail 2012 で新しいアカウントを追加しようとすると、新しいアカウントが作成されず、次のようなエラー メッセージが表示されます。
       
      エラー 0x80090345
    • リモート デスクトップ接続 (RDC) を使用する場合にパスワードが保存されません。 この問題が発生しても、エラー メッセージは表示されません。
    • 資格情報マネージャーを開くと次のようなエラー メッセージが表示されます。
       
      エラー 0x80090345
    • ファイルを暗号化するときにエクスプローラーがフリーズします。 この問題が発生すると、次のようなログ エントリが Windows パフォーマンス アナライザー (WPA) トレースに表示されます。
       
      Explorer taking ~664 seconds to Encrypt a file. TID #3376.This is being serviced by LSASS TID #1488.LSASS TID#3848 is executing the sspCryptUnprotectData call which leads into GetMasterKey.GetMasterKey is taking ~664 seconds (TimesinceLast). LSASS TID 3848. We spend the wholetime waiting on LSASS TID 576 which is performing DCLocator pings to find a DC.File Encryption delay/hang is also accounted by the same code change where the backup is required. 

    一般的に、RODC は、管理者の役割の分離が必要なサイトなどの、RWDC が含まれるサイトとして信頼されないサイトに展開されます。そのため、RODC が公開キーまたは秘密キーをローカルに保持しないことには意味があります。

    回避策

    重要: このセクションの手順の実行には注意が必要です。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 変更する前に、問題の発生に備えて復元用にレジストリのバックアップを作成してください。

    ドメインに参加している Windows 8.1 コンピューターに、問題の更新プログラムをインストールする場合、そのコンピューターが RODC 対応のサイトにあり、書き込み可能なドメイン コントローラーにネットワーク アクセスできることを確認します。 回避策として、影響を受ける Windows 8.1 コンピューターで、次のレジストリキーを設定してマスター キーのローカル バックアップを有効にすることができます。

    レジストリ パス : HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
    設定: ProtectionPolicy
    種類: DWORD
    値: 1
  • 既知の問題 4

    この更新プログラムを置き換える KB3042058 または別の更新プログラムをインストールして、置き換えられた更新プログラムが削除されると、KB2992611 が既にインストールされていても Windows Update から KB2992611 が提示されます。 この問題は、置き換えられた更新プログラムの削除処理で (KB2992611 と共にインストールされる) 更新プログラム KB3018238 が削除されたために発生します。

ファイル情報


このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイルがインストールされます。 これらのファイルの日付と時刻は世界協定時刻 (UTC) で記載されています。 お使いのコンピューターでは、これらのファイルの日付と時刻は夏時間 (DST) 調整済みのローカル時刻で表示されます。 さらに、ファイルに対して特定の操作を実行すると、日時が変更される場合があります。