マイクロソフトは、Kerberos セキュリティの欠陥に対する Windows DC 強化ロードマップの第 3 フェーズを更新します。

11 月の第 2 火曜日に、マイクロソフトはパッチ チューズデー アップデートをリリースしました。サーバー用のもの ( KB5019081 ) は、Windows Kerberos の特権昇格の脆弱性に対処し、攻撃者が特権属性証明書 (PAC) 署名を変更できるようにしました (ID「CVE-2022-37967」で追跡)。マイクロソフトは、ドメイン コントローラーを含むすべての Windows デバイスに更新プログラムを展開することを推奨しています。

展開を支援するために、Microsoft はガイダンスを公開しました。同社は、問題の要点を次のように要約しています。

2022 年 11 月 8 日の Windows 更新プログラムは、特権属性証明書 (PAC) 署名を使用して、セキュリティ バイパスと特権の昇格の脆弱性に対処します。このセキュリティ更新プログラムは、攻撃者が PAC 署名をデジタル的に変更して権限を引き上げる可能性がある Kerberos の脆弱性に対処します。

環境を保護するには、Windows ドメイン コントローラーを含むすべてのデバイスにこの Windows 更新プログラムをインストールしてください。

先月末、同社は展開の第 3 段階に関するリマインダーを発行しました。今月のパッチ チューズデーで公開される予定でしたが、Microsoft は現在、6 月に数か月延期しています。Windows Health ダッシュボード メッセージ センターの更新には、次のように記載されています。

IT 環境のドメイン コントローラーで CVE-2022-37967 に対処するために必要なセキュリティ強化の変更は、2023 年 6 月 13 日の KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法で説明されているように、第 3 の展開フェーズに入ります。は、この変更が 4 月に行われると記載していましたが、その日付が変更されました。

6 月の月例パッチでは、Kerberos プロトコルに対して次の強化変更が行われます。

2023 年 6 月 13 日以降にリリースされた Windows 更新プログラムでは、次のことが行われます。

• KrbtgtFullPacSignatureサブキーの値を 0 に設定して、PAC 署名の追加を無効にする機能を削除します  。

詳細については、こちらのサポート記事 ( KB5020805 ) を参照してください。