「Windows LSA」の脆弱性、米CISAが改めてパッチ適用を勧告

今回は「「Windows LSA」の脆弱性、米CISAが改めてパッチ適用を勧告」についてご紹介します。

関連ワード （ソフトウェア等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　米サイバーセキュリティ・インフラセキュリティ庁（CISA）は米国時間7月1日、米連邦機関などに対して、Microsoftによる5月の月例セキュリティパッチ「Patch Tuesday」で引き起こされていた「Windows」の問題に対処するパッチの適用を求める勧告を発表した。

　CISAは同日、Windowsに潜んでいる脆弱性「CVE-2022-26925」を「既知の悪用された脆弱性カタログ」（KEV）にあらためて追加し、7月22日までにパッチを適用するようこれら機関に対して命じた。

　この問題はWindowsの「Local Security Authority」（LSA）に存在している「なりすましを許す脆弱性であり、『NT Lan Manager』（NTLM）を使用する攻撃者はこれによってドメインコントローラーに自らを認証するよう強制できるようになる」とCISAは説明している。

　NTLMは、Microsoftが「Windows 2000」で実装していた「Active Directory」用のレガシー認証プロトコルだ。LSAを用いることでアプリケーションは、ローカルシステムに対するユーザーの認証とログオンが可能になる。

　CISAは、ドメインコントローラーとして使用しているWindowsサーバー、つまりユーザー認証に使用しているWindowsサーバーに対する5月の月例アップデートを適用すると、ログインに問題が発生する可能性があるという理由で、5月15日にKEVから一時的にCVE-2022-26925を除外していた。

　このアップデートは、多くの機関でユーザーをログイン不能な状態にする可能性がある上、ロールアウトが複雑なフィックスともなっている。

　CISAは7月1日、CVE-2022-26925に対するパッチの適用について別途ガイダンスを発表した。このパッチには、5月の月例パッチで対処された2つの関連する脆弱性、すなわちドメインサービスであるActive Directoryに潜む特権昇格の脆弱性「CVE-2022-26923」と、「Windows Kerberos」に潜む特権昇格の脆弱性「CVE-2022-26931」に対する修正も含まれている（KerberosはActive Directoryにおいて、NTMLの後継となる認証機構だ）。

　ただ、CISAも説明しているように、これら（5月）のパッチによって、認証にPersonal Identity Verification（PIV）／Common Access Card（CAC）証明書を使用している「多くの連邦機関」でログインが失敗するようになった。この問題は、5月の月例パッチを適用した後に、Active Directoryが「証明書とアカウントの強い結びつき」を見つけ出そうとすることに起因している。

　このためCISAは、ドメインコントローラー上に2つのレジストリーキーを設定する手順を示し、ログイン問題を回避するよう推奨している。