Microsoftが先週リリースしたWindows 11/10用の月例更新プログラム、KB5036893(Win11)やKB5036892(Win10)などでは、Kerberos PAC認証に関連したセキュリティ脆弱性の対処が行われていることがわかりました。
脆弱性はCVE-2024-26248およびCVE-2024-29056で追跡されており、KB5020805で追加されたPAC署名検証セキュリティチェックを回避できる脆弱性(特権昇格の脆弱性)が修正されます。
Microsoftはサポート文書で次のように説明しています。
The Windows security updates released on or after April 9, 2024 address elevation of privilege vulnerabilities with the Kerberos PAC Validation Protocol. The Privilege Attribute Certificate (PAC) is an extension to Kerberos service tickets. It contains information about the authenticating user and their privileges. This update fixes a vulnerability where the user of the process can spoof the signature to bypass PAC signature validation security checks added in KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967.
2024年4月9日以降にリリースされるWindowsセキュリティ更新プログラムは、Kerberos PAC検証プロトコルに関する特権昇格の脆弱性に対処しています。特権属性証明書(PAC)は、Kerberosサービスチケットの拡張機能です。この証明書には、認証ユーザーとその権限に関する情報が含まれています。この更新プログラムでは、プロセスのユーザーが署名を偽装して、KB5020805で追加されたPAC署名検証セキュリティチェックをバイパスできる脆弱性が修正されています。
ただし2024年4月の月例更新プログラムをインストールするだけではこの不具合は修正されず、完全に緩和するには環境が更新されたあと、強制モードに移行する必要があります(以下の有効化の手順)。
- 更新:WindowsドメインコントローラとWindowsクライアントは2024年4月9日以降にリリースされたWindowsセキュリティ更新プログラムで更新する必要がある。
- 監視:互換モードでは、更新されていないデバイスを識別するための監査イベントが表示される。。
- 有効化:強制モードが環境で完全に有効になると、CVE-2024-26248およびCVE-2024-29056 で説明されている脆弱性が緩和される。
現在は対策の初期導入段階で、今後以下のスケジュールに従って変更が行われています。
- 2024年4月9日: 初期展開フェーズ - 互換性モード
- 2024年10月15日: 強制モードがデフォルト段階
- 2025年4月8日 強制段階
脆弱性の詳細については公式サポートドキュメントKB5037754で確認可能です。