2024 年 3 月 20 日更新 – LDS 参照を追加しました
要約
CVE-2021-42291 は、Active Directory (AD) または Lightweight Directory Service (LDS) に格納されている特定のオブジェクトの機密性の高い属性に対して特定のユーザーが任意の値を設定することを許可するセキュリティ機能をバイパスする脆弱性に対処します。 この脆弱性を悪用するには、ユーザーは、ユーザーに付与されたコンピューター オブジェクトの CreateChild アクセス許可など、コンピューター派生オブジェクトを作成するのに十分な権限を持っている必要があります。 このユーザーは、securityDescriptor 属性へのアクセスを過度に制限することを許可するライトウェイト ディレクトリ アクセス プロトコル (LDAP) Add 呼び出しを使用して、コンピューター アカウントを作成できます。 さらに、作成者と所有者は、アカウントの作成後にセキュリティで保護された属性を変更できます。 これは、特定のシナリオで特権の昇格を実行するために利用できます。
注LDS は、AD と同様に、オブジェクトへの暗黙的なアクセスの状態に関するイベント 3050、3053、3051、3054 を記録します。
CVE-2021-42291 の軽減策は、次で構成されます。
-
ドメインまたは LDS 管理者権限を持たないユーザーが、コンピューター派生オブジェクトに対し LDAP Add 操作を試みる場合の追加の認証検証。 これには、こうした試行が要求を妨げることなく発生するタイミングを監査する Audit-By-Default モードと、こうした試行をブロックする強制モードが含まれます。
-
ドメイン管理者権限を持たないユーザーが、securityDescriptor 属性に対し LDAP Modify 操作を試みる場合の暗黙的所有者特権の一時的な削除。 ユーザーが、暗黙的所有者特権なしでセキュリティ記述子の書き込みを許可されるかどうかを確認するために検証を行います。 これには、こうした試行が要求を妨げることなく発生するタイミングを監査する Audit-By-Default モードと、こうした試行をブロックする強制モードも含まれます。
対処方法
環境を保護し、障害を回避するには、次の手順を実行してください。
-
最新の Windows 更新プログラムをインストールして、Active Directory ドメイン コントローラーまたは LDS サーバーの役割をホストするすべてのデバイスを更新します。 2021 年 11 月 9 日以降の更新プログラムがあるドメイン コントローラーでは、既定で監査モードが変更されます。
-
2021 年 11 月 9 日以降の Windows 更新プログラムがあるドメイン コントローラーおよび LDS サーバー上で、3044 - 3056 イベントのディレクトリ サービスまたは LDS イベント ログを監視します。 ログに記録されたイベントは、ユーザーが任意のセキュリティで保護された属性を持つコンピューター アカウントを作成する過度の権限を持っている可能性を示します。 Premier サポート ケース、統合サポート ケース、フィードバック Hub を使用して、予期しないシナリオを Microsoft に報告します。 (これらのイベントの例については、「新しく追加したイベント」セクションを参照してください)。
-
監査モードで十分な期間にわたって予期しない権限を検出しない場合、強制モードに切り替えて、否定的な結果が発生しないことを確認します。 Premier サポート ケース、統合サポート ケース、フィードバック Hub を使用して、予期しないシナリオを Microsoft に報告します。
Windows 更新プログラムのタイミング
これらの Windows 更新プログラムは、次の 2 フェーズに分けてリリースされます。
-
初期展開 – dSHeuristics 属性を使用して構成可能な既定の監査モード、強制モード、無効モードなど、更新プログラムを導入します。
-
最終展開 – 既定で適用されます。
2021 年 11 月 10 日: 初期展開フェーズ
初期展開フェーズは、2021 年 11 月 10 日にリリースされる Windows 更新プログラムから始まります。 このリリースでは、コンピューターまたはコンピューター派生したオブジェクトの作成時または変更時に、ドメイン管理者権限を持たないユーザーによって設定されたアクセス許可の監査が追加されます。 また、強制モードと無効モードも追加されます。 dSHeuristics 属性を使用して、Active Directory フォレストごとにモードをグローバルに設定できます。
(2023 年 12 月 15 日更新)最終展開フェーズ
最終展開フェーズは、[アクションの実行] セクションに記載されている手順を完了すると開始できます。 強制モードに移行するには、[配置ガイダンス] セクションの指示に従って、dSHeuristics 属性に 28 ビットと 29 ビットを設定します。 次に、イベント 3044-3046 を監視します。 監査モードで以前に許可されていた可能性のある LDAP Add 操作または LDAP Modify 操作が強制モードでブロックされた場合に報告されます。
展開ガイダンス
構成情報の設定
CVE-2021-42291 をインストールした後は、dSHeuristics 属性の文字 28 と 29 が更新プログラムの動作を制御します。 dSHeuristics 属性は、それぞれの Active Directory フォレスト内に存在し、フォレスト全体の設定が含まれます。 dSHeuristics 属性は、"CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<Domain>" (AD ) または "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,<configuration set>" (LDS) オブジェクトの属性です。 詳細については、「6.1.1.2.4.1.2 dSHeuristics」および「DS-Heuristics 属性」を参照してください。
文字 28 – LDAP の追加操作に対する追加の AuthZ 検証
0: 既定の監査モードが有効になっています。 ドメイン管理者権限を持たないユーザーが、新しいコンピューター派生 AD オブジェクトに対し過度のアクセス許可を付与する可能性のある値に securityDescriptor 属性または他の属性を設定すると、イベントがログに記録されます。
1: 強制モードが有効になっています。 これにより、ドメイン管理者権限を持たないユーザーは、コンピューター派生 AD オブジェクトに対し過度のアクセス許可を付与する可能性がある値に securityDescriptor 属性または他の属性を設定できません。 これが発生すると、イベントもログに記録されます。
2: 更新された監査を無効にし、追加されたセキュリティは適用されません。. 推奨されません。
例::フォレスト内で他の dSHeuristics 設定が有効になっていない状態で、追加の AuthZ 検証のために強制モードに切り替える場合、dSHeuristics 属性を次の値に設定する必要があります。
"0000000001000000000200000001"
この場合に設定される文字は次のとおりです。
10 文字目: dSHeuristics 属性が 10 文字以上の場合は 1 に設定する必要があります
20 文字目: dSHeuristics 属性が 20 文字以上の場合は 2 に設定する必要があります
28 文字目: 追加の AuthZ 検証の強制モードを有効にするには、1 に設定する必要があります
文字 29 – LDAP 変更操作の暗黙的所有者の一時的な削除
0: 既定の監査モードが有効になっています。 ドメイン管理者権限を持たないユーザーが、既存のコンピューター派生 AD オブジェクトに対し過度のアクセス許可を付与する可能性のある値に securityDescriptor を設定すると、イベントがログに記録されます。
1: 強制モードが有効になっています。 これにより、ドメイン管理者権限を持たないユーザーは、既存のコンピューター派生 AD オブジェクトに対し過度のアクセス許可を付与する可能性がある値に securityDescriptor を設定できません。 これが発生すると、イベントもログに記録されます。
2: 更新された監査を無効にし、追加されたセキュリティは適用されません。. 推奨されません。
例::フォレスト内で追加の AuthZ 検証の dsHeuristics フラグのみを設定した状態で、一時的な暗黙的所有権の削除のために強制モードに切り替える場合、dSHeuristics 属性を次の値に設定する必要があります。
"00000000010000000002000000011"
この場合に設定される文字は次のとおりです。
10 文字目: dSHeuristics 属性が 10 文字以上の場合は 1 に設定する必要があります
20 文字目: dSHeuristics 属性が 20 文字以上の場合は 2 に設定する必要があります
28 文字目: 追加の AuthZ 検証の強制モードを有効にするには、1 に設定する必要があります
29 文字目: 一時的な暗黙的所有権の削除に対して強制モードを有効にするには、1 に設定する必要があります
新しく追加したイベント
2021 年 11 月 10 日の Windows更新プログラムでは、新しいイベント ログも追加されます。
モード変更イベント – LDAP Add 操作に対する追加の AuthZ 検証
dSHeuristics属性のビット 28 が変更された場合に発生するイベント。更新プログラムの LDAP 追加操作部分の追加 AuthZ 検証のモードが変更されます。
|
Event Log |
ディレクトリ サービス |
|
イベント タイプ |
Informational |
|
イベント ID |
3050 |
|
イベント テキスト |
ディレクトリは、LDAP Add 操作中に属性ごとの認証を強制するように構成されています。 これは最も安全な設定であり、これ以上の対応は必要ありません。 |
|
Event Log |
ディレクトリ サービス |
|
イベント タイプ |
警告 |
|
イベント ID |
3051 |
|
イベント テキスト |
ディレクトリは、LDAP Add 操作中に属性ごとの認証を強制しないように構成されています。 警告イベントはログに記録されますが、要求はブロックされません。 この設定は安全ではないため、一時的なトラブルシューティング手順としてのみ使用してください。 以下のリンクで推奨される軽減策を確認してください。 |
|
Event Log |
ディレクトリ サービス |
|
イベント タイプ |
Error |
|
イベント ID |
3052 |
|
イベント テキスト |
ディレクトリは、LDAP Add 操作中に属性ごとの認証を強制しないように構成されています。 イベントはログに記録されません。要求もブロックされません。 この設定は安全ではないため、一時的なトラブルシューティング手順としてのみ使用してください。 以下のリンクで推奨される軽減策を確認してください。 |
モード変更イベント – 暗黙的所有者権限の一時的な削除
dSHeuristics属性のビット 29 が変更された場合に発生するイベント。更新の暗黙的所有者権限部分の一時的な削除のモードが変更されます。
|
Event Log |
ディレクトリ サービス |
|
イベント タイプ |
Informational |
|
イベント ID |
3053 |
|
イベント テキスト |
ディレクトリは、LDAP Add 操作中および LDAP Modify 操作中に、nTSecurityDescriptor 属性を最初に設定または変更するときに、暗黙的所有者特権をブロックするように構成されています。 これは最も安全な設定であり、これ以上の対応は必要ありません。 |
|
Event Log |
ディレクトリ サービス |
|
イベント タイプ |
警告 |
|
イベント ID |
3054 |
|
イベント テキスト |
ディレクトリは、LDAP Add 操作中および LDAP Modify 操作中に、nTSecurityDescriptor 属性を最初に設定または変更するときに、暗黙的所有者特権を許可するように構成されています。 警告イベントはログに記録されますが、要求はブロックされません。 この設定は安全ではないため、一時的なトラブルシューティング手順としてのみ使用してください。 |
|
Event Log |
ディレクトリ サービス |
|
イベント タイプ |
Error |
|
イベント ID |
3055 |
|
イベント テキスト |
ディレクトリは、LDAP Add 操作中および LDAP Modify 操作中に、nTSecurityDescriptor 属性を最初に設定または変更するときに、暗黙的所有者特権を許可するように構成されています。 イベントはログに記録されません。要求もブロックされません。 この設定は安全ではないため、一時的なトラブルシューティング手順としてのみ使用してください。 |
監査モード イベント
LDAP Add 操作または LDAP Modify 操作で潜在的なセキュリティの問題をログに記録するために、監査モードで発生するイベント。
|
Event Log |
ディレクトリ サービス |
|
イベント タイプ |
警告 |
|
イベント ID |
3047 |
|
イベント テキスト |
ディレクトリ サービスが、次のセキュリティ上の理由で通常ブロックされる次のオブジェクトに対する LDAP Add 要求を検出しました。 クライアントには、既定のマージされたセキュリティ記述子に基づいて、Add 要求に含まれる 1 つ以上の属性を書き込むためのアクセス許可がありませんでした。 ディレクトリは、このセキュリティ チェックの監査のみモードになるように現在構成されているので、要求の続行が許可されました。 オブジェクト DN: <created object’s DN> オブジェクト クラス: <created object’s objectClass> ユーザー: <user who attempted the LDAP add> クライアント IP アドレス: <the IP of the requestor> セキュリティ記述子: <the SD that was attempted> |
|
Event Log |
ディレクトリ サービス |
|
イベント タイプ |
警告 |
|
イベント ID |
3048 |
|
イベント テキスト |
ディレクトリ サービスが、次のセキュリティ上の理由で通常ブロックされる次のオブジェクトに対する LDAP Add 要求を検出しました。 Add 要求の nTSecurityDescriptor 属性が含まれるクライアントには、既定のマージされたセキュリティ記述子に基づいて、新しいセキュリティ記述子の 1 つ以上の部分を書き込むための明示的なアクセス許可がありませんでした。 ディレクトリは、このセキュリティ チェックの監査のみモードになるように現在構成されているので、要求の続行が許可されました。 オブジェクト DN: <created object’s DN> オブジェクト クラス: <created object’s objectClass> ユーザー: <user who attempted the LDAP add> クライアント IP アドレス: <the IP of the requestor> |
|
Event Log |
ディレクトリ サービス |
|
イベント タイプ |
警告 |
|
イベント ID |
3049 |
|
イベント テキスト |
ディレクトリ サービスが、次のセキュリティ上の理由で通常ブロックされる次のオブジェクトに対する LDAP Modify 要求を検出しました。 Add 要求の nTSecurityDescriptor 属性が含まれるクライアントには、既定のマージされたセキュリティ記述子に基づいて、新しいセキュリティ記述子の 1 つ以上の部分を書き込むための明示的なアクセス許可がありませんでした。 ディレクトリは、このセキュリティ チェックの監査のみモードになるように現在構成されているので、要求の続行が許可されました。 オブジェクト DN: <created object’s DN> オブジェクト クラス: <created object’s objectClass> ユーザー: <user who attempted the LDAP add> クライアント IP アドレス: <the IP of the requestor> |
|
Event Log |
ディレクトリ サービス |
|
イベント タイプ |
警告 |
|
イベント ID |
3056 |
|
イベント テキスト |
ディレクトリ サービスが、以下で指定したオブジェクトに対する sdRightsEffective 属性のクエリを処理しました。 返されるアクセス マスクに WRITE_DAC が含まれていましたが、セキュリティ設定ではない暗黙的所有者特権を許可するようにディレクトリが構成されていたからです。 オブジェクト DN: <created object’s DN> ユーザー: <user who attempted the LDAP add> クライアント IP アドレス: <the IP of the requestor> |
強制モード - LDAP Add エラー
LDAP Add 操作が拒否されたときに発生するイベント。
|
Event Log |
ディレクトリ サービス |
|
イベント タイプ |
警告 |
|
イベント ID |
3044 |
|
イベント テキスト |
ディレクトリ サービスが、次のオブジェクトに対する LDAP Add 要求を拒否しました。 クライアントには、既定のマージされたセキュリティ記述子に基づいて、Add 要求に含まれる 1 つ以上の属性を書き込むためのアクセス許可がなかったため、要求が拒否されました。 オブジェクト DN: <created object’s DN> オブジェクト クラス: <created object’s objectClass> ユーザー: <user who attempted the LDAP add> クライアント IP アドレス: <the IP of the requestor> セキュリティ記述子: <the SD that was attempted> |
|
Event Log |
ディレクトリ サービス |
|
イベント タイプ |
警告 |
|
イベント ID |
3045 |
|
イベント テキスト |
ディレクトリ サービスが、次のオブジェクトに対する LDAP Add 要求を拒否しました。 Add 要求の nTSecurityDescriptor 属性が含まれるクライアントには、既定のマージされたセキュリティ記述子に基づいて、新しいセキュリティ記述子の 1 つ以上の部分を書き込むための明示的なアクセス許可がなかったため、要求が拒否されました。 オブジェクト DN: <created object’s DN> オブジェクト クラス: <created object’s objectClass> ユーザー: <user who attempted the LDAP add> クライアント IP アドレス: <the IP of the requestor> |
強制モード - LDAP Modify エラー
LDAP Modify 操作が拒否されたときに発生するイベント。
|
Event Log |
ディレクトリ サービス |
|
イベント タイプ |
警告 |
|
イベント ID |
3046 |
|
イベント テキスト |
ディレクトリ サービスが、次のオブジェクトに対する LDAP Modify 要求を拒否しました。 Modify 要求の nTSecurityDescriptor 属性が含まれるクライアントには、オブジェクトの既存のセキュリティ記述子に基づいて、新しいセキュリティ記述子の 1 つ以上の部分を書き込むための明示的なアクセス許可がなかったため、要求が拒否されました。 オブジェクト DN: <created object’s DN> オブジェクト クラス: <created object’s objectClass> ユーザー: <user who attempted the LDAP add> クライアント IP アドレス: <the IP of the requestor> |
よく寄せられる質問
Q1 更新されている Active Directory ドメイン コントローラーと更新されていない Active Directory ドメイン コントローラーが混在する場合はどうなりますか。
A1 更新されていないドメイン コントローラーは、この脆弱性に関連するイベントをログに記録しません。
Q2 読み取り専用ドメイン コントローラー (RODC) に必要な操作は何ですか。
A2 操作は必要ありません。LDAP Add 操作と LDAP Modify 操作では、RODC を対象にできません。
Q3 強制モードを有効にすると失敗するサード パーティ製品またはプロセスがあります。 サービスまたはユーザー ドメイン管理者権限を付与する必要がありますか。
A3 一般的に、この問題の最初の解決策として、サービスまたはユーザーをドメイン管理者グループに追加することは推奨されていません。 イベント ログを調べて、どのような特定のアクセス許可が必要なのかを確認し、その目的ために指定された個別の組織単位で、そのユーザーに対して適切に制限された権限の委任を検討します。
Q4 LDS サーバーの監査イベントも表示されます。 この原因を教えてください。
A4 LDS にコンピューター オブジェクトがあることは非常にまれですが、上記のすべては AD LDS にも当てはまります。 監査モードで予期しない権限が検出されない場合は、AD LDS の保護を有効にするための緩和手順も実行する必要があります。
