マイクロソフト定例外プログラム、5月パッチ適用後一部で発生した認証の問題修正

今回は「マイクロソフト定例外プログラム、5月パッチ適用後一部で発生した認証の問題修正」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftが定例外パッチをリリースしている。米国時間2022年5月10日に公開したセキュリティ更新プログラムをドメインコントローラーとして使用されている「Windows Server」に適用すると、「Windows」で認証が失敗する可能性がある問題などを修正している。

 この定例外パッチにより、ネットワークポリシーサーバー(NPS)、ルーティングとリモートアクセスサービス(RRAS)、拡張認証プロトコル(EAP)、保護された拡張認証プロトコル(PEAP)などの影響を受けたサービスで認証が失敗する問題が修正されるはずだ。

 Microsoftは、「ドメインコントローラーが証明書のマシンアカウントへのマッピングを処理する仕組みに関連して問題が見つかった」と説明していた。

 米サイバーセキュリティ・インフラセキュリティ庁(CISA)は先週、脆弱性「CVE-2022-26925」に対するMicrosoftの修正プログラムを「既知の悪用された脆弱性カタログ」(KEV)から一時的に除外した。連邦政府機関は一定期間内に、KEVに含まれる脆弱性にパッチを適用しなければならない。

 CVE-2022-26925はLSA(Local Security Authority)のなりすましの脆弱性だとMicrosoftは説明している。脆弱性の詳細は一般に公開されており、悪用する攻撃コードも出回っているという。

 Microsoftは、認証されていない攻撃者が「LSARPCインターフェースに対してメソッドを呼び出し、NTLMを使用して攻撃者を認証するようドメインコントローラーに強制する可能性がある」とし、「このセキュリティ更新プログラムは、LSARPCでの匿名接続の試行を検出し、禁止する」と説明している。

 Microsoftによると、「Active Directory Certificate Services」(AD CS)に対するNTLMリレー攻撃と併用された場合のCVSSスコアは9.8になるという。

 この問題の影響を受けるのは、ドメインコントローラーとして使用されているWindows Serverのセキュリティ更新プログラムだ。

 この定例外パッチで提供される累積的な更新プログラムは、「Windows Server 2022」(KB5015013)、「Windows Serverバージョン20H2」(KB5015020)、「Windows Server 2019」(KB5015018)、「Windows Server 2016」(KB5015019)だ。スタンドアロンの更新プログラムは、「Windows Server 2012 R2」(KB5014986)、「Windows Server 2012」(KB5014991)、「Windows Server 2008 R2 SP1」(KB5014987)、「Windows Server 2008 SP2」(KB5014990)だ。

 4月のKB5011831以降の更新プログラムによって引き起こされた、「Microsoft Store」アプリのインストールが妨げられる場合がある問題も定例外パッチで修正された。一部のMicrosoft Storeアプリが開かない可能性もあったという。

 管理者は、更新プログラムを「Windows Server Update Services」(WSUS)、「Microsoft Endpoint Configuration Manager」に手動でインポートすることが可能だ。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Cohesity、ベリタスからデータ保護事業を買収–ベリタスは新会社に
IT関連
2024-02-14 15:55
コロナ禍がAIにもたらした光と闇–英オックスフォード大のオズボーン教授に聞く
IT関連
2023-02-03 04:59
AIでユニットテストを自動生成。リファクタリング、ドキュメントの生成、バグの検出なども行う「Refraction」登場
.NET
2023-01-24 15:56
ラウンドアップ:IT業界で脱炭素の取り組みが拡大–各社動向を振り返り
IT関連
2022-08-17 04:43
東芝テックとRetail AI、スマートカートでレジ待ち時間ゼロ目指した実証を開始
IT関連
2024-10-18 00:58
mineo、月間20GBで1750円の新プラン 「現行から最大60%値下げ」
IT関連
2021-01-28 10:47
「フォントの日」で驚かされた、草を生やすカラーフォントと日本語バリアブルフォント (1/6 ページ)
イラスト・デザイン
2021-04-14 00:49
日経平均3万円でも「日本株は割安」と判断する理由
IT関連
2021-03-09 21:29
ソーラールーフタイルで家を仮想電力会社にするSunRoofが約5.9億円調達
EnviroTech
2021-04-30 03:43
すみっコぐらしがメタバース化、エンタメ特化型メタバースVARKがすみっコ世界に飛び込めるイベントを3月23日から開催
IT関連
2022-03-04 23:08
MODE、生成AIとセンサーデータを活用するパートナープログラムを展開
IT関連
2024-06-13 12:13
「気になったら、アポイントなしでその場でオンライン商談」ウェブ接客ツールOPTEMOのジェイタマズが8500万円調達
IT関連
2022-01-21 19:41
大分三愛メディカルセンター、医療情報インフラを最適化–設置スペースは4分の1に
IT関連
2023-02-15 04:58
中部電力と中電シーティーアイ、ServiceNowのITサービス管理・資産管理製品を導入
IT関連
2024-01-27 19:51