Microsoft は、セキュリティ更新により Windows ドメイン コントローラの認証が失敗する可能性があると警告しています。
「2022年5月10日にリリースされたアップデートをドメインコントローラーにインストールすると、ネットワークポリシーサーバー(NPS)、ルーティングとリモートアクセスサービス(RRAS)、Radius、拡張認証プロトコル(EAP)、保護された拡張認証プロトコル(PEAP)などのサービスでサーバーまたはクライアントの認証に失敗する可能性があります」とIT大手は水曜日に公開したアドバイザリで述べた。
このアドバイザリは、KB5012643 (2022 年 4 月 25 日リリース) に続く Windows 更新プログラム KB5013943 (2022 年 5 月 10 日火曜日リリース) を参照しており、セーフ モードで起動したときに画面がちらつく原因に対処しています。
4 月の KB5012643 アップデートは、5 月 11 日水曜日に何の説明もなく配布が中止されました。
最新の Windows 更新プログラム KB5013943 では、一部の .NET Framework 3.5 アプリが開かなくなったり、特定の GPU で Direct3D 9 を使用する一部のアプリがクラッシュしたりする問題が未解決のままになっています (どちらの場合も回避策が提案されています)。
Microsoft によれば、認証の問題はクライアントの Windows デバイスやドメイン コントローラ以外のサーバーには影響しないはずです。
Redditに投稿したネットユーザーは/r/sysadmin、2つのMicrosoftパッチの適用後に認証エラーが発生したことを指摘しました。脆弱性ID CVE-2022-26931およびCVE-2022-26923で識別されるこれらのパッチは、KB5014754に記載されている2つの「高深刻度」権限昇格の脆弱性を解決することを目的としていました。
2022年最初のパッチ火曜日後、管理者がHyper-Vとドメインコントローラーの問題を報告
デジャヴ
「要するに、特定の特権を持つ攻撃者は、他の指定されたプリンシパルになりすます証明書を作成できるということです」と、マイクロソフトのWindows暗号化、ID、認証チームのシニアソフトウェアエンジニア、スティーブ・シフス氏は火曜日のTwitter投稿で説明した。「ほとんどの環境では、この種の攻撃を困難にする緩和策が既に導入されているため、これは深刻な状況ではありません。」
Syfuhs 氏はその後、Microsoft が認証問題の報告を調査中であることを認めた。
「ご参考までに、NPSの問題については認識しています」と彼は水曜日に述べた。「これはNPSに特有のものではなく、証明書内の異なる種類の名前をどのように区別しているかに関係しています。影響を受けるのは一部の人だけです。」
Microsoft は、アドバイザリで次のような回避策を提案しました。「この問題に対する推奨される軽減策は、証明書を Active Directory 内のマシン アカウントに手動でマッピングすることです。」
推奨される緩和策が機能しない場合、IT大手は代替戦略としてKB5014754を参照することを推奨しています。少なくとも1人のユーザーが、ドメインコントローラーのSChannelレジストリキー値を/r/sysadmin手動で以前のデフォルト設定に戻すことで認証の問題を解決したと報告しています。しかし、この方法を試したと主張する他のユーザーは、問題が解決していないと述べています。CertificateMappingMethods0x1F
「現在調査中で、今後のリリースでアップデートを提供する予定です」とマイクロソフトのアドバイザリには記されている。®
