2022年1月30日日曜日

システム イベント ログにイベントソース Microsoft-Windows-Kerberos-Key-Distribution-Center、イベントID 35 と 37 が記録される

CVE-2021-42287 で追加されたイベント メッセージ ID 35 , 37 と脆弱性対応の流れについて

をご存知でしょうか。

上記記事の通り、2021年11月に脆弱性対策としてリリースされたセキュリティ更新プログラムをインストールすると、表示されるイベントです。

手元の環境でも発生しているか遡って確認したところ、イベントID 37がありました。

このイベントの意図するところを、CVE-2021-42287 で追加されたイベント メッセージ ID 35 , 37 と脆弱性対応の流れについて から引用します。

CVE-2021-42287 の脆弱性対応では、ドメイン コントローラーがクライアントに Kerberos Ticket-Granting Tickets (TGT) を発行する際に、TGT の PAC フィールドに "要求元" の情報を追加するようになりました。 その後、クライアントが TGT を使ってドメイン コントローラーへサービス チケットを要求した際、クライアントから受け取った TGT の "要求元" 情報を検証する動作となっております。

イベント メッセージ ID 35, 37 は、この検証を行った際、TGT に “要求元” などの情報が含まれていなかった場合に記録されるものとなります。そのため、すべてのドメイン コントローラーに 2021 年 11 月の更新プログラムを適用した後、特に 1 週間ほどは、クライアントに残存している古い TGT の影響で頻繁にイベント メッセージが記録される場合がございますが、これらのイベント メッセージが記録されていたとしても、ドメイン コントローラーが CVE-2021-42287 の “強制モード” に移行しない限り、直ちに問題になることはございません。

ただし、CVE-2021-42287 の対応方針として、2022 年 7 月 12 日リリース予定の更新プログラムで “強制モード” に移行する予定となります。”強制モード” に移行すると、上記イベント メッセージが記録されている TGT はすべて拒否される動作となり、Kerberos 認証に失敗することが想定されます。

TGTに要求元などの情報が含まれていない場合を検出しているとのこと。が、大事なことは上記で赤く色づけした箇所です。TGTに要求元などの情報が含まれていない場合、そのTGTは拒否される、すなわちリソースアクセスなどが拒否されてしまうと考えられます。

2022年7月12日までで、どのような段階的対応となるか、CVE-2021-42287 で追加されたイベント メッセージ ID 35 , 37 と脆弱性対応の流れについて の内容を下記へ引用しますので、ご参考になさってください。

[2] 本脆弱性への対処 ( 段階的な展開 )

本脆弱性の段階的な展開については、以下の 3 フェーズで実施される予定です。

1) 2021 年 11 月 9 日: 初期展開フェーズ

このフェーズでは、既定で PacRequestorEnforcement レジストリが “1” と同等の動作となり、PAC に “要求元” が追加されます。

“要求元” が存在しない TGT についても認証を行うことが可能なため、通常、認証に失敗するといった影響はございません。

 ※ PacRequestorEnforcement レジストリは既定で存在しません。

 ※ 2021 年 11 月 9 日時点で、レジストリが存在しない場合の動作は、”1” と同等の動作になります。

2) 2022 年 4 月 12 日: 第 2 展開フェーズ

このフェーズでは、PacRequestorEnforcement レジストリの 0 が削除されます。この更新プログラムをインストール後、PacRequestorEnforcement を 0 に設定しても、 1 に設定した際と同じ動作になります。

 ※ PacRequestorEnforcement を 0 に設定していない環境では、このフェーズは不要です。

3) 2022 年 7 月 12 日: 強制フェーズ

PacRequestorEnforcement のレジストリ キーが無効化され、強制的に PacRequestorEnforcement = 2 の動作となります。

強制フェーズでは、以下のドメイン コントローラーと互換性が無くなります。

・ 2021 年 11 月 9 日以降の更新プログラムをインストールしなかったドメイン コントローラー

・ 2021 年 11 月 9 日以降の更新プログラムをインストールしたが、PacRequestorEnforcement が 0 に設定されており、且つ、2021 年 4 月 12 日の更新プログラムを適用していないドメイン コントローラー

次のドメイン コントローラーと互換性があります。

・ 2022 年 7 月 12 日以降の更新プログラムをインストールしたドメイン コントローラー

・ 2021 年 11 月 9 日以降の更新プログラムをインストールし、PacRequestorEnforcement が 1 または 2 を持つドメイン コントローラー

2 件のコメント:

  1. このコメントは投稿者によって削除されました。

    返信削除
  2. 3) 2022 年 7 月 12 日: 強制フェーズ
    以降について、「システム イベント ログにイベントソース Microsoft-Windows-Kerberos-Key-Distribution-Center、イベントID 35 と 37 が記録される」のは、おおよそ24時間程度で収束するようだと、フィードバックいただきましたので、記載しておきます。
    また、Kerberosで認証失敗した場合、NTLM認証に切り替わるということも申し添えておきます。

    返信削除