2024年7月26日金曜日

Active DirectoryのKerberos認証に対する新たな3段適用更新プログラムがリリースされていました

CVE-2021-42287 で追加されたイベント メッセージ ID 35 , 37 と脆弱性対応の流れについて

で、Active DirectoryのKerberos認証に対する3段適用更新プログラムは、収束したと思っていました。ですが、教えていただいた話からKerberos認証に対する新たな3段適用更新プログラムがリリースされていました。それは、

KB5037754: CVE-2024-26248 および CVE-2024-29056 に関連する PAC 検証の変更を管理する方法

です。最大深刻度は重要なのですが、すべてのWindowsに適用が必要とのこと。つまりActive Directoryドメインコントローラー含むWindows ServerとWindowsクライアントが対象になります。
※もちろんサポートライフサイクルから外れているものは、もうどうしようもないと思いますい。拡張セキュリティ更新プログラム(ESU)が残っている場合は、その限りではないとも思います。

KB5037754: CVE-2024-26248 および CVE-2024-29056 に関連する PAC 検証の変更を管理する方法

は、今年の4月9日に最初のセキュリティ更新プログラムがリリースされました。このリリースでは互換モードです。上記リンクより文面引用します。

最初のデプロイ フェーズは、2024 年 4 月 9 日にリリースされた更新プログラムから始まります。 この更新プログラムは、CVE-2024-26248 および CVE-2024-29056 で 説明されている特権の脆弱性の昇格を防ぐ新しい動作を追加しますが、環境内の Windows ドメイン コントローラーと Windows クライアントの両方が更新されない限り、適用されません。


新しい動作を有効にし、脆弱性を軽減するには、Windows 環境全体 (ドメイン コントローラーとクライアントの両方を含む) が更新されていることを確認する必要があります。 監査イベントは、更新されていないデバイスを識別するためにログに記録されます。

2024年10月15日以降にリリースされるセキュリティ更新プログラムでは、強制モードすなわち、既定でセキュリティで保護された動作になるそうです。

最後に、2025年4月8日以降にリリースされるセキュリティ更新プログラムは、互換モードを一切サポートしません。

以上、パッチマネジメントは計画的に進める必要ありです。Active Directoryドメインコントローラーのローリングアップグレード時になって、慌てないようにしたいものです。。。

0 件のコメント:

コメントを投稿