CISA、「Windows LSA」の脆弱性を「既知の悪用された脆弱性カタログ」から一時的に除外

今回は「CISA、「Windows LSA」の脆弱性を「既知の悪用された脆弱性カタログ」から一時的に除外」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　米国のサイバーセキュリティ・インフラセキュリティ庁（CISA）は、連邦政府機関に対して定められた期間内にセキュリティパッチを適用することを義務づけている、悪用の事実が確認されている脆弱性のリストから、特定の脆弱性を除外するという異例の措置を取った。

　CISAは、Microsoftが2022年5月のセキュリティパッチで対応した脆弱性「CVE-2022-26925」の修正プログラムを、「既知の悪用された脆弱性カタログ」（KEV）から一時的に除外すると発表した。CISAによれば、Microsoftが2022年5月10日に公開したマンスリーロールアップを、ドメインコントローラーとして使用されている「Windows Server」に適用すると、認証に失敗する可能性があるという。CISAは米国時間5月13日、この脆弱性をパッチが必須とされるKEVリストから除外した。

　「MicrosoftからCISAに通知されたこの問題は、証明書とマシンアカウントのマッピングに関するドメインコントローラーの処理に関連したものだ」とCISAは述べている。

　CISAは、「2022年5月10日のロールアップ更新プログラムをドメインコントローラーにインストールすると、サーバーやクライアントが、ネットワークポリシーサーバー（NPS）、ルーティングとリモートアクセスサービス（RRAS）、拡張認証プロトコル（EAP）、Protected Extensible Authentication Protocol （PEAP）などのサービスの認証に失敗する可能性がある」と説明している。

　この問題の影響を受けるのは、ドメインコントローラーとして使用されているWindows Serverのセキュリティ更新プログラムだ。CISAは、クライアントとして使用されているWindowsデバイスや、ドメインコントローラーとして使用されていないWindows Serverには、Microsoftの5月のセキュリティ更新プログラムを適用することを強く推奨している。

　CVE-2022-26925はLSA（Local Security Authority）のなりすましの脆弱性だとMicrosoftは説明している。LSAは、アプリケーションがユーザーを認証し、ローカルシステムにログオンすることを許可するための仕組みだ。Microsoftによれば、この脆弱性の詳細は一般に公開されており、これを悪用する攻撃コードも出回っているという。

　同社は、この脆弱性が「Active Directory Certificate Services」（AD CS）に対するNTLMリレー攻撃と併用された場合のCVSSスコアは9.8になるとしている。

　2022年5月10日にMicrosoftが公開した更新プログラムの説明では、「この脆弱性はすべてのサーバーに影響するが、セキュリティ更新プログラムの適用に関しては、ドメインコントローラーを優先」するよう促している。

　またCISAは、Microsoftの「KB5014754」（Windowsドメインコントローラーに対する証明書ベースの認証の変更）の「Key Distribution Center registry key」を確認するよう求めている。