更新日 : 2022 年 7 月 12 日
概要
CVE-2021-42287 は、Kerberos 特権属性証明 (PAC) に影響を与えて、潜在的な攻撃者がドメイン コントローラーになりすますことを許可するセキュリティ バイパスの脆弱性を解決します。 この脆弱性を悪用するために、侵害されたドメイン アカウントが、キー配布センター (KDC) にこの侵害されたアカウントよりも高い特権レベルを持つサービス チケットを作成させる可能性があります。 より高い特権のサービス チケットの対象となるアカウントはどれなのかを KDC が特定できないようにすることで、これを達成します。
CVE-2021-42287 の改善された認証プロセスにより、Kerberos チケット保証チケット (TGT) の PAC に元の要求元に関する新しい情報が追加されます。 後から、アカウントに対して Kerberos サービス チケットが保証されると、この新しい認証プロセスによって、TGT を要求したアカウントが、サービス チケットで参照されているものと同じアカウントであることが検証されます。
2021 年 11 月 10 日以降に Windows 更新プログラムをインストールすると、すべてのドメイン アカウントの TGT に PAC が追加されます。以前に PAC を拒否することを選択したドメイン アカウントにも追加されます。
対処方法
環境を保護し、障害を回避するには、次の手順を実行してください。
-
2021 年 11 月 9 日のセキュリティ更新プログラムと 2021 年 11 月 14 日の定例外 (OOB) 更新プログラムをインストールして、Active Directory ドメイン コントローラーのロールをホストするすべてのデバイスを更新します。 以下で、特定の OS の OOB KB 番号を検索します。
OS
文書番号
Windows Server 2016
Windows Server 2019
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows Server 2008 SP2
-
2021 年 11 月 9 日のセキュリティ更新プログラムと 2021 年 11 月 14 日の OOB 更新プログラムをすべての Active Directory ドメイン コントローラーに少なくとも 7日 間インストールした後、すべての Active Directory ドメイン コントローラーで強制モードを有効にすることを強くお勧めします。
-
(更新済み) 2022 年 10 月 11 日の強制フェーズの更新プログラム以降、すべての Windows ドメインコントローラーで強制モードが有効になり、必須になります。
Windows 更新プログラムのタイミング
これらの Windows 更新プログラムは、次の 3 フェーズに分けてリリースされます。
-
初期展開 – 更新プログラムと PacRequestorEnforcement レジストリ キーの導入
-
2 番目の展開 – 0 の PacRequestorEnforcement 値の削除 (レジストリ キーを無効にする機能)
-
強制フェーズ – 強制モードが有効になります。 PacRequestorEnforcement レジストリ キーの削除
2021 年 11 月 10 日: 初期展開フェーズ
初期展開フェーズは、2021 年 11 月 10 日にリリースされる Windows 更新プログラムから始まります。 このリリースの内容:
-
CVE-2021-42287 に対する保護の追加
-
PacRequestorEnforcement レジストリ値のサポートを追加します。これにより、強制フェーズに早期に移行できます。
軽減策により、ドメイン コントローラー ロールと読み取り専用ドメイン コントローラー (RODC) をホストするすべてのデバイスに Windows 更新プログラムがインストールされます。
(更新済み) 2022 年 7 月 12 日: 2 番目の展開フェーズ
2 番目の展開フェーズは、2022 年 7 月 12 日にリリースされた Windows 更新プログラムから始まります。 このフェーズでは、0 の PacRequestorEnforcement 設定が削除されます。 この更新プログラムのインストール後に PacRequestorEnforcement を 0 に設定すると、PacRequestorEnforcement を 1 に設定した場合と同じ効果があります。 ドメイン コントローラー (DC) は展開モードになります。
注お使いの環境で PacRequestorEnforcement が 0 に設定されていない場合、このフェーズは必要ありません。 このフェーズは、PacRequestorEnforcement を 0 に設定したお客様が、強制フェーズの前に設定 1 に移行できるようにします。
注 この更新プログラムは、すべてのドメイン コントローラーが 2021 年 11 月 10 日以降のセキュリティ更新プログラムで更新されていると想定します。
(更新済み) 2022年 10 月 11 日: 強制フェーズ
2022 年 10 月 11 日のリリースでは、すべての Active Directory ドメイン コントローラーが強制フェーズに移行します。 強制フェーズでは、PacRequestorEnforcement レジストリ キーも完全に削除されます。 その結果、2022 年 10 月 11 日の更新プログラムをインストールした Windows ドメイン コントローラーは、以下と互換性がなくなります。
-
2021 年 11 月 10 日以降の更新プログラムをインストールしなかったドメイン コントローラー。
-
2021 年 11 月 9 日以降の更新プログラムをインストールしたが、2022 年 7 月 12 日の更新プログラムをまだインストールしておらず、PacRequestorEnforcement レジストリ値が 0 のドメイン コントローラー。
ただし、2022 年 10 月 11 日の更新プログラムをインストールした Windows ドメイン コントローラーは、以下との互換性を維持します。
-
2022 年 10 月 11 日以降の更新プログラムをインストールした Windows ドメイン コントローラー
-
2021 年 11 月 10 日以降の更新プログラムをインストール済みで、PacRequestorEnforcement 値が 1 または 2 の Windows ドメイン コントローラー。
レジストリ キー情報
2021 年 11 月 10 日から 2022 年 6 月 15 日の間にリリースされた Windows 更新プログラムに CVE-2021-42287 保護をインストールすると、次のレジストリ キーを使用できるようになります。
レジストリ サブキー |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc |
値 |
PacRequestorEnforcement |
データの種類 |
REG_DWORD |
データ |
1: 2021 年 11 月 10 日以降の更新プログラムがインストールされている Active Directory ドメイン コントローラーを使用して認証されたユーザーに新しい PAC を追加します。 認証時にユーザーが新しい PAC を持っている場合は、PAC が検証されます。 ユーザーが新しい PAC を持っていない場合、これ以上の操作は行われません。 このモードの Active Directory ドメイン コントローラーは、展開フェーズの状態です。 2: 2021 年 11 月 10 日以降の更新プログラムがインストールされている Active Directory ドメイン コントローラーを使用して認証されたユーザーに新しい PAC を追加します。 認証時にユーザーが新しい PAC を持っている場合は、PAC が検証されます。 ユーザーが新しい PAC を持っていない場合、認証は拒否されます。 このモードの Active Directory ドメイン コントローラーは、強制フェーズの状態です。 0: レジストリ キーを無効にします。 推奨されません。このモードの Active Directory ドメイン コントローラーは、無効フェーズの状態です。 この値は、2022 年 7 月 12 日以降の更新プログラム以降は存在しません。 重要:設定 0 は、設定 2 と互換性がありません。 フォレスト内で両方の設定を使用する場合、断続的なエラーが発生する可能性があります。 設定 0 を使用する場合、少なくとも設定 2 (強制モード) に移行する 1 週間前に、設定 0 (無効) を 1 (展開) に切り替えることを推奨します。 |
既定値 |
1 (レジストリ キーが設定されていない場合) |
再起動は必要性ですか。 |
いいえ |
イベントの監査
2021 年 11 月 10 日の Windows更新プログラムでは、新しいイベント ログも追加されます。
属性を持たない PAC
KDC は、PAC 属性バッファーを持たない TGT を検出します。 ログ内の他の KDC に更新プログラムが含まれていないか、無効モードになっている可能性があります。
Event Log |
システム |
イベント タイプ |
警告 |
イベント ソース |
Kdcsvc |
イベント ID |
35 |
イベント テキスト |
キー配布センター (KDC) は、PAC 属性フィールドを含まない別の KDC (「<KDC Name>」) からチケット保証チケット (TGT) を検出しました。 |
PAC を持たないチケット
KDC は、PAC を持たない TGT または他の証拠チケットを検出します。 これにより、KDC がチケットに対してセキュリティ チェックを強制的に実行できなくなります。
Event Log |
システム |
イベント タイプ |
展開フェーズ中の警告 強制フェーズ中のエラー |
イベント ソース |
Kdcsvc |
イベント ID |
36 |
イベント テキスト |
キー配布センター (KDC) は、別のチケットの要求の処理中に PAC が含まれていないチケットを検出しました。 これにより、セキュリティ チェックが実行できなくなったため、セキュリティの脆弱性が発生する可能性があります。 クライアント: <Domain Name>\<User Name> <Service Name> のチケット |
要求元を持たないチケット
KDC は、PAC 要求元バッファーを持たない TGT または他の証拠チケットを検出します。 PAC を作成した KDC に更新プログラムが含まれていないか、無効モードになっている可能性があります。
注イベント 37 に関する重要な情報については、「既知の問題」セクションを参照してください。
Event Log |
システム |
イベント タイプ |
展開フェーズ中の警告 強制フェーズ中のエラー |
イベント ソース |
Kdcsvc |
イベント ID |
37 |
イベント テキスト |
キー配布センター (KDC) は、別のチケットの要求の処理中に、チケットを要求したアカウントに関する情報が含まれていないチケットを検出しました。 これにより、セキュリティ チェックが実行できなくなったため、セキュリティの脆弱性が発生する可能性があります。 <KDC Name> によって作成されたチケットの PAC クライアント: <Domain Name>\<Client Name> <Service Name> のチケット |
要求元の不一致
KDC は TGT または他の証拠チケットを検出しますが、TGT または証拠チケットを要求したアカウントが、サービス チケットが作成されているアカウントと一致しません。
Event Log |
システム |
イベント タイプ |
エラー |
イベント ソース |
Kdcsvc |
イベント ID |
38 |
イベント テキスト |
キー配布センター (KDC) は、チケットを要求したアカウントに関して一貫性のない情報が含まれるチケットを検出しました。 これは、チケットが発行された後にアカウントの名前が変更され、試行された悪用の一部である可能性があります。 <Kdc Name> によって作成されたチケットの PAC クライアント: <Domain Name>\<User Name> <Service Name> のチケット Active Directory からのアカウント SID の要求: <SID> チケットからのアカウント SID の要求: <SID> |
既知の問題
現象 |
回避策 |
---|---|
2021 年 11 月 9 日以降にリリースされた Windows Update をドメイン コントローラー (DC) にインストールした後、一部のお客様には、次のような特定のパスワード設定または変更操作の後にログに記録された新しい監査イベント ID 37 が表示される場合があります。
2021 年 11 月 9 日以降にリリースされた Windows Update を 1 週間インストールした後、イベント ID 37 が表示されず、PacRequestorEnforcement が「1」または「2」の場合、環境は影響を受けません。 PacRequestorEnforcement = 1 に設定すると、イベント ID 37 が警告としてログに記録されますが、パスワード変更要求は成功し、ユーザーには影響しません。 PacRequestorEnforcement = 2 に設定すると、パスワード変更要求は失敗し、上記の操作も失敗します。 |
この問題は、次の更新プログラムで解決されています。
|
よく寄せられる質問
Q1 更新されている Active Directory ドメイン コントローラーと更新されていない Active Directory ドメイン コントローラーが混在する場合はどうなりますか。
A1. 更新されているドメイン コントローラーと更新されていないドメイン コントローラーが混在する場合、既定の PacRequestorEnforcement レジストリ キー値が 1 であれば、互いに互換性があります。 ただし、Microsoft は、環境内で更新されているドメイン コントローラーと更新されていないドメイン コントローラーを持たないようにすることを強く推奨します。
Q2 さまざまな PacRequestorEnforcement 値を持つ Active Directory ドメイン コントローラーが混在する場合はどうなりますか。
A2. PacRequestorEnforcement 値が 0 と 1 のドメイン コントローラーが混在する場合、互いに互換性があります。 PacRequestorEnforcement 値が 1 と 2 のドメイン コントローラーが混在する場合、互いに互換性があります。 PacRequestorEnforcement 値が 0 と 2 のドメイン コントローラーが混在する場合、互いに互換性がなく、断続的なエラーが発生する可能性があります。 詳細については、「レジストリ キー情報」セクションを参照してください。