CVE-2025-26647 (Kerberos 認証) の保護
上記は、2025年4月8日に公開されました。
本文に記載ありますが、本脆弱性は、3フェーズでADの脆弱性の対策が図られます。上記の内容をサマリして以下に記載します。
- 脆弱性の概要:NTAuth ストアに存在しない認証局(CA)から発行された証明書を使って Kerberos 認証が行われると、セキュリティ上のリスクが生じる可能性があります。
- 影響対象:altSecID 属性を使った証明書マッピングを行っているセキュリティプリンシパル。またADドメインコントローラーがこちらの影響を受けます。
- 対策の段階的導入:
- 2025 年 4 月 8 日: 初期展開フェーズ – 監査モード
初期展開フェーズ(監査モード)として、NTAuth チェックと監査ログ警告イベント(イベントID 45)が有効になります。このイベントID 45は、安全でない証明書を使用して Kerberos 認証要求を受信すると記録されます。
この記録されたイベントを監視して、NTAuthストアに含まれていない影響を受ける証明機関を特定していくことも必要です。 - 2025 年 7 月: 既定で適用されるフェーズ
このフェーズ(モード)では、NTAuthストアのチェックが既定の動作となります。が、AllowNtAuthPolicyBypassレジストリキー設定を使用することで監査モードに戻すことも可能エス。
ただしこのモードでは、セキュリティ更新プログラムを完全に無効にする機能は削除されます - 2025 年 10 月: 強制モード
このモードになると、ADドメインコントローラーが安全でない証明書を使用してKerberos認証要求を受け取った場合、イベント D 21 がログに記録され、要求が拒否されます。
またAllowNtAuthPolicyBypassレジストリキーに対するMicrosoft のサポートは中止されます。よって監査モードに戻すことはできません。