要約
2024 年 4 月 9 日以降にリリースされた Windows セキュリティ更新プログラムは、 Kerberos PAC 検証プロトコルを使用して特権の昇格の脆弱性に対処します。 Privilege Attribute Certificate (PAC) は、Kerberos サービス チケットの拡張機能です。 これには、認証ユーザーとその特権に関する情報が含まれています。 この更新プログラムは、プロセスのユーザーが署名を偽装して、KB5020805で追加された PAC 署名検証セキュリティ チェックをバイパスする可能性がある脆弱性を修正 します。CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法。
これらの脆弱性の詳細については、「 CVE-2024-26248 」および 「CVE-2024-29056」を参照してください。
対処方法
重要 2024 年 4 月 9 日以降にリリースされた更新プログラムをインストールする手順 1 では、 CVE-2024-26248 および CVE-2024-29056 のセキュリティの問題に既定で完全には対処できません。 すべてのデバイスのセキュリティの問題を完全に軽減するには、環境が完全に更新されたら、強制モード (手順 3 で説明) に移行する必要があります。
環境を保護し、停止を防ぐために、次の手順をお勧めします。
-
更新: Windows ドメイン コントローラーと Windows クライアントは、2024 年 4 月 9 日以降にリリースされた Windows セキュリティ更新プログラムで更新する必要があります。
-
モニター: 監査イベントは 互換性 モードで表示され、更新されていないデバイスを識別します。
-
有効: 環境で強制モードが完全に有効になると、CVE-2024-26248 および CVE-2024-29056 で説明されている脆弱性が軽減されます。
背景
Windows ワークステーションは、受信 Kerberos 認証フローで PAC 検証を実行すると、サービス チケットを検証するための新しい要求 (ネットワーク チケット ログオン) を実行します。 要求は、最初に Netlogon を介してワークステーション ドメインのドメイン コントローラー (DC) に転送されます。
サービス アカウントとコンピューター アカウントが異なるドメインに属している場合、要求は、サービス ドメインに到達するまで、Netlogon 経由で必要な信頼全体にわたって実行されます。それ以外の場合、コンピューター アカウント ドメインの DC によって検証が実行されます。 次に、DC はキー配布センター (KDC) を呼び出してサービス チケットの PAC 署名を検証し、ユーザーとデバイスの情報をワークステーションに送信します。
要求と応答が信頼を介して転送される場合 (サービス アカウントとワークステーション アカウントが異なるドメインに属している場合)、信頼全体の各 DC は、それに関連する承認データをフィルター処理します。
変更のタイムライン
Updatesは次のようにリリースされます。 このリリース スケジュールは、必要に応じて変更される可能性があることに注意してください。
最初のデプロイ フェーズは、2024 年 4 月 9 日にリリースされた更新プログラムから始まります。 この更新プログラムは、CVE-2024-26248 および CVE-2024-29056 で 説明されている特権の脆弱性の昇格を防ぐ新しい動作を追加しますが、環境内の Windows ドメイン コントローラーと Windows クライアントの両方が更新されない限り、適用されません。
新しい動作を有効にし、脆弱性を軽減するには、Windows 環境全体 (ドメイン コントローラーとクライアントの両方を含む) が更新されていることを確認する必要があります。 監査イベントは、更新されていないデバイスを識別するためにログに記録されます。
2024 年 10 月 15 日以降にリリースされたUpdates、レジストリ サブキー設定を PacSignatureValidationLevel=3 と CrossDomainFilteringLevel=4 に変更することで、環境内のすべての Windows ドメイン コントローラーとクライアントが強制モードに移行され、既定でセキュリティで保護された動作が適用されます。
[ 既定で適用] 設定を管理者がオーバーライドして 互換性 モードに戻すことができます。
2025 年 4 月 8 日以降にリリースされた Windows セキュリティ更新プログラムは、レジストリ サブキー PacSignatureValidationLevel と CrossDomainFilteringLevel のサポートを削除し、新しいセキュリティで保護された動作を適用します。 この更新プログラムをインストールした後、 互換 モードはサポートされません。
潜在的な問題と軽減策
PAC 検証やフォレスト間フィルター処理エラーなど、発生する可能性のある問題が発生する可能性があります。 2024 年 4 月 9 日のセキュリティ更新プログラムには、これらの問題を軽減するためのフォールバック ロジックとレジストリ設定が含まれています
レジストリ設定
このセキュリティ更新プログラムは、Windows デバイス (ドメイン コントローラーを含む) に提供されます。 動作を制御する次のレジストリ キーは、受信 Kerberos 認証を受け入れ、PAC 検証を実行する Kerberos サーバーにのみ展開する必要があります。
|
レジストリ サブキー |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
値 |
PacSignatureValidationLevel |
|
|
データ型 |
REG_DWORD |
|
|
データ |
2 |
既定値 (パッチが適用されていない環境との互換性) |
|
3 |
強制 |
|
|
再起動が必要ですか? |
いいえ |
|
|
レジストリ サブキー |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
|
|
値 |
CrossDomainFilteringLevel |
|
|
データ型 |
REG_DWORD |
|
|
データ |
2 |
既定値 (パッチが適用されていない環境との互換性) |
|
4 |
強制 |
|
|
再起動が必要ですか? |
いいえ |
|
このレジストリ キーは、受信 Kerberos 認証を受け入れる Windows サーバーと、途中で新しいネットワーク チケット ログオン フローを検証する Windows ドメイン コントローラーの両方に展開できます。
|
レジストリ サブキー |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
|
|
値 |
AuditKerberosTicketLogonEvents |
|
|
データ型 |
REG_DWORD |
|
|
データ |
1 |
既定値 – 重要なイベントをログに記録する |
|
2 |
すべての Netlogon イベントをログに記録する |
|
|
0 |
Netlogon イベントをログに記録しない |
|
|
再起動が必要ですか? |
いいえ |
|
イベント ログ
受信 Kerberos 認証を受け入れる Kerberos サーバーでは、次の Kerberos 監査イベントが生成されます。 この Kerberos サーバーは、新しいネットワーク チケット ログオン フローを使用する PAC 検証を実行します。
|
Event Log |
System |
|
イベント タイプ |
Informational |
|
イベント ソース |
Security-Kerberos |
|
イベント ID |
21 |
|
イベント テキスト |
Kerberos ネットワーク チケット ログオン中に、ドメイン <ドメイン> からのアカウント <アカウント> のサービス チケットは、DC <ドメイン コントローラー> によって次のアクションを実行しました。 詳細については、「https://go.microsoft.com/fwlink/?linkid=2262558」を参照してください。 |
このイベントは、ドメイン コントローラーがネットワーク チケット ログオン フロー中に致命的ではないアクションを実行したときに表示されます。 現時点では、次のアクションがログに記録されます。
-
ユーザー SID がフィルター処理されました。
-
デバイス SID がフィルター処理されました。
-
SID フィルターによってデバイスの ID が許可されなくなり、複合 ID が削除されました。
-
SID フィルターによってデバイスのドメイン名が許可されなくなり、複合 ID が削除されました。
|
Event Log |
System |
|
イベント タイプ |
Error |
|
イベント ソース |
Security-Kerberos |
|
イベント ID |
22 |
|
イベント テキスト |
Kerberos ネットワーク チケット ログオン中に、ドメイン <ドメイン> からのアカウント <アカウント> のサービス チケットは、以下の理由により DC <DC> によって拒否されました。 詳細については、「https://go.microsoft.com/fwlink/?linkid=2262558」を参照してください。 |
このイベントは、ドメイン コントローラーがイベントに表示される理由でネットワーク チケット ログオン要求を拒否した場合に表示されます。
|
Event Log |
System |
|
イベント タイプ |
警告またはエラー |
|
イベント ソース |
Security-Kerberos |
|
イベント ID |
23 |
|
イベント テキスト |
Kerberos ネットワーク チケット ログオン中に、ドメイン <domain_name> からアカウント <account_name> のサービス チケットをドメイン コントローラーに転送して要求を処理できませんでした。 詳細については、「https://go.microsoft.com/fwlink/?linkid=2262558」を参照してください。 |
-
このイベントは、PacSignatureValidationLevel と CrossDomainFilteringLevel が [強制] または [厳密] に設定されていない場合に警告として表示されます。 警告としてログに記録されると、このイベントは、ネットワーク チケット ログオン フローが、新しいメカニズムを理解していないドメイン コントローラーまたは同等のデバイスに接続したことを示します。 認証は以前の動作にフォールバックすることができました。
-
PacSignatureValidationLevel または CrossDomainFilteringLevel が [強制 または厳格化] に設定されている場合、このイベントはエラーとして表示されます。 "エラー" としてこのイベントは、ネットワーク チケット ログオン フローが、新しいメカニズムを理解していないドメイン コントローラーまたは同等のデバイスに接続したことを示します。 認証が拒否され、以前の動作にフォールバックできませんでした。
|
Event Log |
System |
|
イベント タイプ |
Error |
|
イベント ソース |
Netlogon |
|
イベント ID |
5842 |
|
イベント テキスト |
Netlogon サービスで、Kerberos ネットワーク チケット ログオン要求を処理するときに予期しないエラーが発生しました。 詳細については、「https://go.microsoft.com/fwlink/?linkid=2261497」を参照してください。 サービス チケット アカウント: <アカウント> サービス チケット ドメイン: <ドメイン> ワークステーション名: コンピューター名 <> 状態: エラー コード> < |
このイベントは、ネットワーク チケットログオン要求中に Netlogon で予期しないエラーが発生するたびに生成されます。 このイベントは、 AuditKerberosTicketLogonEvents が (1) 以上に設定されている場合にログに記録されます。
|
Event Log |
System |
|
イベント タイプ |
警告 |
|
イベント ソース |
Netlogon |
|
イベント ID |
5843 |
|
イベント テキスト |
Netlogon サービスは、Kerberos ネットワーク チケット ログオン要求をドメイン コントローラー <DC> に転送できませんでした。 詳細については、「https://go.microsoft.com/fwlink/?linkid=2261497」を参照してください。 サービス チケット アカウント: <アカウント> サービス チケット ドメイン: <ドメイン> ワークステーション名: コンピューター名 <> |
このイベントは、ドメイン コントローラーが変更を理解していなかったため、Netlogon がネットワーク チケット ログオンを完了できなかった場合に生成されます。 Netlogon プロトコルの制限により、Netlogon クライアントは、Netlogon クライアントが直接通信しているドメイン コントローラーが変更を理解していないドメイン コントローラーか、変更を理解していない転送チェーンに沿ったドメイン コントローラーであるかを判断できません。
-
サービス チケット ドメインがマシン アカウントのドメインと同じ場合、イベント ログのドメイン コントローラーがネットワーク チケットログオン フローを理解していない可能性があります。
-
サービス チケット ドメインがマシン アカウントのドメインと異なる場合、マシン アカウントのドメインからサービス アカウントのドメインへの途中でドメイン コントローラーの 1 つがネットワーク チケット ログオン フローを理解できませんでした
このイベントは既定ではオフになっています。 Microsoft では、ユーザーがイベントをオンにする前に、まずフリート全体を更新することをお勧めします。
このイベントは、 AuditKerberosTicketLogonEvents が (2) に設定されている場合にログに記録されます。
よく寄せられる質問 (FAQ)
更新されていないドメイン コントローラーは、この新しい要求構造を認識しません。 これにより、セキュリティ チェックが失敗します。 互換モードでは、古い要求構造が使用されます。 このシナリオは、 CVE-2024-26248 および CVE-2024-29056 に対して引き続き脆弱です。
はい。 これは、サービス アカウントのドメインに到達するために、新しいネットワーク チケット ログオン フローをドメイン間でルーティングする必要がある可能性があるためです。
PAC 検証は、次のシナリオを含むがこれに限定されない特定の状況でスキップされる場合があります。
-
サービスに TCB 特権がある場合。 通常、SYSTEM アカウント (SMB ファイル共有、LDAP サーバーなど) のコンテキストで実行されているサービスには、この権限があります。
-
サービスがタスク スケジューラから実行されている場合。
それ以外の場合、PAC 検証は、すべての受信 Kerberos 認証フローに対して実行されます。
これらの CV には、Windows ワークステーションで実行されている悪意のあるサービス アカウントまたは侵害されたサービス アカウントが、ローカルの管理権限を取得するために特権の昇格を試みる、ローカル特権の昇格が含まれます。 つまり、受信 Kerberos 認証を受け入れる Windows ワークステーションのみが影響を受けます。
