要約
Microsoft は、CVE-2023-35348 で説明されているように、Active Directory フェデレーション サービス (AD FS) (AD FS) のトークン再生攻撃の脆弱性に対処するための Windows 更新プログラムをリリースしました。 この更新プログラムは、2023 年 7 月 11 日以降にリリースされた Windows 更新プログラムによってインストールされます。 既定では、この更新プログラムは無効にインストールされます。 更新を有効にするには、 EnforceNonceInJWT 設定を構成する必要があります。
詳細情報
この更新プログラムでは、JWT ユーザー認証中に JSON Web トークン (JWT) アサーションからの Nonce の検証を有効にする新しい設定が導入されました。
この記事では、設定を有効にする方法について説明し、設定のサポートされている値について、AD FS サーバーでログに記録されるイベントの詳細を示します。
EnforceNonceInJWT 設定
EnforceNonceInJWT は、ADFS サーバー上の管理者が、次のいずれかのモードで実行するように構成できます。
-
なし (既定値): EnforceNonceInJWT 設定値が変更されたかどうかを追跡するために使用されます。 この値は、管理者によって設定されない場合があります。 ADFS サーバーは、非値が JWT アサーションに存在するが、その存在を強制しない場合にのみ検証します。
-
無効: この値は、既定値に問題が発生した場合、または有効にした後で修正を無効にするために設定される場合があります。
-
有効: EnforceNonceInJWT 設定を有効にします。 ADFS サーバーは、 Nonce が JWT アサーションに存在し、特定の条件が満たされた場合にも有効であることを強制します。
EnforceNonceInJWT モードは、次の PowerShell コマンドを使用して、AD FS サーバーの管理者によって変更される場合があります。
-
EnforceNonceInJWT を有効にします。
Set-AdfsProperties -EnforceNonceInJWT Enabled -
EnforceNonceInJWT を無効にします。
Set-AdfsProperties -EnforceNonceInJWT Disabled -
EnforceNonceInJWT 設定の状態を確認します
。 管理者は Get-AdfsProperties を実行して、現在の EnforceNonceInJWT 設定をチェックできます。 返される EnforceNonceInJWT 値は、構成されたモードと一致します。
ログに記録されたイベント
2023 年 7 月 11 日以降にリリースされた Windows 更新プログラムがインストールされた後、次のイベントが AD FS サーバーに記録される場合があります。
注 イベント 187 は、AD FS サーバーが JWT アサーションで Nonce を含まない要求を受信し、 EnforceNonceInJWT が None または Disabled に設定されるたびにログに記録されます。
ソース: AD FS
レベル: 警告
ID: 187
メッセージ: AD FS サーバーは、アサーションで nonce なしで JWT トークンを受信し、EnforceNonceInJWT の現在の構成設定に基づいて受け入れられました。 ただし、悪意のあるクライアントによる JWT トークンの再生の可能性、またはクライアントが最新の Windows 更新でパッチを適用されていない可能性を示します。 最新の Windows 更新を使用してクライアントにパッチを適用した後は、必ず EnforceNonceInJWT 設定を更新して、そのような JWT トークンをすべて拒否してください。 詳細については、「https://go.microsoft.com/fwlink/?linkid=2238156」を参照してください。
注 EnforceNonceInJWT が [なし] または [無効] に設定されている場合、イベント 188 は AD FS サービスの開始ごとに記録されます。
ソース: AD FS
レベル: Error
ID: 188
メッセージ: AD FS サーバーは、アサーションに nonce が含まれていない JWT トークンを拒否するように構成されていません。 対応する設定 (EnforceNonceInJWT) は、セキュリティ上の理由から、すべてのクライアントに最新の Windows 更新が適用されていることを確認した後で有効にする必要があります。 イベント 187 は、現在の EnforceNonceInJWT の設定により AD FS がこのようなトークンを受信し、受け入れたインスタンスを示します。 詳細については、「https://go.microsoft.com/fwlink/?linkid=2238156」を参照してください。
対処方法
2023 年 7 月 11 日以降にリリースされた Windows 更新プログラムを、ファームのすべての AD FS サーバーにインストールします。 次に、ファームのプライマリ AD FS サーバーで次の PowerShell コマンドを実行して、設定を有効にします。
Set-AdfsProperties -EnforceNonceInJWT Enabled
重要 更新されていないクライアントが存在し、JWT 認証要求を AD FS サーバーに送信すると、特定のシナリオで認証エラーが発生することがあります。 このような場合は、2023 年 7 月 11 日以降にリリースされた Windows 更新プログラムをインストールして、すべてのクライアントを更新することをお勧めします。 または、管理者は EnforceNonceInJWT 設定を無効にし、イベント 187 のログ記録について AD FS サーバーを監視して 、EnforceNonceInJWT が [有効] に設定されている場合に拒否される可能性のある要求を特定できます。 定義された期間、AD FS サーバーにイベント 187 が存在しないことを確認した後、 EnforceNonceInJWT 設定を [有効] に更新する必要があります。