2015 年 2 月 11 日に公開したマイクロソフト セキュリティ情報 MS15-011「グループ ポリシーの脆弱性により、リモートでコードが実行される」では、セキュリティ更新プログラムを適用後に、Active Directory のグループ ポリシーの構成変更が必要です。
今回は、Active Directory 環境をご利用のお客様に、脆弱性や攻撃のシナリオ、修正内容、および作業手順などの概要をご案内いたします。なお、必要となる作業の詳細は、サポート技術情報 (KB3000483) で公開しています。(Active Directory 環境をご利用ではないお客様は何の作業も必要ありません。Windows Update /WSUS をご利用のお客様は Active Directory ドメイン環境の端末のみセキュリティ更新プログラムが提供されています)
Active Directory 環境をご利用のお客様は、ぜひ本資料をご参照のうえ、早急にセキュリティ更新プログラムの適用および必要となる変更作業を行ってくださいますようお願いいたします。
対象環境
-
Active Directory 環境をご利用のお客様 (セキュリティ情報 MS15-011 の影響対象は Active Directory 環境のみとなります。)
-
Active Directory 環境ですべてのサポートされているエディションの Windows Server 2003*、Windows Vista、Windows Server 2008 、Windows 7、Windows Server 2008 R2 、Windows 8、Windows Server 2012 、Windows RT、Windows 8.1、Windows Server 2012 R2 、および Windows RT 8.1
*Windows Server 2003 は脆弱性の影響を受けますが、更新プログラムは提供されません。更新プログラムで提供される修正を適切にサポートするためのアーキテクチャーが Windows Server 2003 システムに存在しないため、Windows Server 2003 用の修正プログラムを作成することは実現不可能であるためです。
Server Core インストールは影響を受けます。
概要
ドメインに参加しているシステムがドメイン コントローラーに接続する際に、グループ ポリシーでポリシー データを受信および適用する方法に、リモートでコードが実行される脆弱性が存在します。この脆弱性を悪用するには、ドメインで構成されているシステムを使用している標的となるユーザーを、攻撃者が制御しているネットワークに接続するように誘導することが、攻撃者にとっての必要条件となります。
セキュリティ更新プログラムは、グループ ポリシーで構成データを受け入れる前に、ドメインで構成されたシステムがドメイン コントローラーに接続する方法を改善することにより、この脆弱性を解決します。
この脆弱性は、セキュリティ情報公開時においては、一般には公表されておらず、また、この脆弱性が一般で悪用されたという報告はありません。
想定される攻撃方法
攻撃者が制御しているネットワークに接続するように、ドメインに参加しているシステムを利用している被害者を誘導します。被害者が、攻撃者が制御しているネットワークに接続した場合、攻撃者は、被害者が行っている通信を傍受し、攻撃者に転送されるようにします。被害者システムがグループ ポリシーに必要なファイルの取得を試みた際に、攻撃者の用意した悪意のあるスクリプトをダウンロード、実行させます。
- (例) 攻撃者に乗っ取られている公共の WiFi に、ドメインに参加している端末を接続した場合
- (例) 攻撃者に乗っ取られているネットワーク機器に、ドメインに参加している端末を接続した場合
想定される被害
攻撃者はこの脆弱性を悪用し、影響を受けるコンピューターにて、悪意のあるコードを実行します。
- (例) 攻撃者は、被害者のシステムにて、任意のスクリプトを実行させ、被害者のシステムにあるファイルを外部へ送信する
- (例) 攻撃者は、被害者のシステムで任意のスクリプトを実行させ、他の悪意のあるソフトウェア (マルウェア) をダウンロードする
修正の概要
MS15-011 で提供しているセキュリティ更新プログラムを適用することで、UNC (Universal Naming Convention) * を介したファイルのアクセスを悪意のある攻撃から保護するための新しい機能 (UNC Hardened Access) を実装します。
新しい機能 (UNC Hardened Access) では、UNC を介したファイルのアクセスにおいて、通常サーバー側で実施されている資格情報の確認やアクセス権の確認に加え、追加のセキュリティ チェックを提供します。これにより、不正なサーバーへのアクセスの防止、改ざんの防止などを行い、悪意のある攻撃から保護を行うことができます。
セキュリティ更新プログラムを適用後に、新しい機能 (UNC Hardened Access) をグループ ポリシー適用時において必要となるファイル アクセスに対して保護をするよう構成することにより、グループ ポリシー適用時における通信の傍受や改ざんなど悪意のある攻撃から保護を行い、脆弱性を解決することができます。
*UNC (Universal Naming Convention): Windows がファイルやリソースにアクセスする場合に利用する表記形式。\\<hostname>\<sharename>\<objectname> で表記を行う。
必要となる作業
① セキュリティ更新プログラムを適用する
MS15-011 で提供されているセキュリティ更新プログラム KB3000483 をドメイン環境内のすべての端末に適用します。ドメイン コントローラー、ドメイン メンバー サーバー、ドメイン クライアント、すべての端末に適用が必要です。
補足: この更新プログラムでは、マイクロソフト セキュリティ アドバイザリ 3004375 で提供される新機能もインストールされます。この新機能は、Windows コマンド ラインのプロセス作成の監査ポリシーに関連するものですが、このセキュリティ情報で説明している脆弱性とは関係ありません。
② Active Directory グループ ポリシーを構成する
ドメインに適用されるグループ ポリシーにて、以下のポリシーを構成します。
[コンピューターの構成] - [ポリシー]- [管理用テンプレート]- [ネットワーク]- [ネットワーク プロバイダー] - [強化された UNC パス]
値の名前 | 値 |
---|---|
\\\NETLOGON | RequireMutualAuthentication=1, RequireIntegrity=1 |
\\\SYSVOL | RequireMutualAuthentication=1, RequireIntegrity=1 |
注意
-
上記で入力する値は、ドメインに参加しているコンピューターの推奨される最小構成です。この構成では、リモートでコードを実行するために悪用される可能性があるなりすましおよび改ざんの攻撃からグループ ポリシーを保護するために、すべての NETLOGON および SYSVOL 共有を、相互認証と整合性の両方を必要とするように構成することをお勧めしています。
-
RequirePrivacy (SMB 通信の暗号化) は、Windows 8/Windows Server 2012 同士のみで実装されています。サーバーおよびクライアントのいずれかが、これよりも以前の OS の場合は、暗号化された SMB 通信を行うことができません。ドメイン内のすべてのコンピューターが Windows 8/Windows Server 2012 の環境以外では、この設定を有効にしてはいけません。このため、推奨される最小構成には、RequirePrivacy は含まれていません。
-
ご紹介している推奨設定については、Windows Server 2003 に適用されるグループ ポリシーで設定されていても問題ありません。
-
詳細な手順、および入力する値の詳細な説明は、サポート技術情報 (KB3000483) をご参照ください。
作業における注意事項
- 運用環境にて作業を行う前に、必ず、検証環境にて十分な検証を実施し、環境に固有の問題が発生しないかなど、十分確認を行ってください
- 予期せぬ障害に備え、作業の前には必ずバックアップを取得し、障害発生時のリカバリ手順をご確認ください。
- 今回実施する作業においては、設定を誤ると SYSVOL 共有にアクセスできず、ポリシー設定が取得できなくなる恐れがあります。その場合、再度グループ ポリシーを用いて修正版の設定を配布する作業ができない恐れがあります。ポリシー設定の手順についてはお間違えのないよう、十分にご確認をお願いいたします。
参考情報
- マイクロソフト セキュリティ情報 MS15-011 グループ ポリシーの脆弱性により、リモートでコードが実行される
- サポート技術情報 KB 3000483 [MS15-011] グループ ポリシーの脆弱性により、リモートでコードが実行される (2015 年 2 月 10 日)
- Microsoft Security Research and Defense 公式ブログ (英語情報) MS15-011 & MS15-014: Hardening Group Policy