Kerberos KDC の脆弱性 (CVE-2020-17049) に対応するためのガイダンス

マイクロソフトは、2020 年 11 月 10 日 (米国時間) に、Kerberos KDC (Key Distribution Center) に対する脆弱性情報 CVE-2020-17049 を公開するとともに、対応するためのセキュリティ更新プログラムを公開しました。この脆弱性に対応するためには、フォレスト内のすべての DC (Domain Controller) ならびに RODC (Read-Only Domain Controller) に対してセキュリティ更新プログラムを展開するだけではなく、追加の対応ステップが必要となる場合がありますので、Active Directory の管理者向けに対応のためのガイダンスをお知らせします。

脆弱性の概要

CVE-2020-17049 は、Key Distribution Center (KDC) が、Kerberos Constrained Delegation (KCD) を介した委任にサービス チケットを使用できるかどうかを判断する方法に、セキュリティ機能のバイパスの脆弱性が存在します。この脆弱性を悪用するために、KCD を使用するように構成された侵害対象のサービスは、委任に無効なサービス チケットを改ざんし、KDC に強制的に受け入れさせる可能性があります。KDC が KCD で使用されるサービス チケットを検証する方法を変更することで、この脆弱性を解決します。CVSS ベース スコアは “6.6” となっています。

セキュリティ更新プログラムの対象製品

(2020 年 12 月 9 日時点)

11 月 10 日に公開したセキュリティ更新プログラムでは、後述する問題が確認されています。この問題を修正した更新プログラムが定例外にて Microsoft Update Catalog 上で公開されています。該当するお客様は 11 月 10 に公開したセキュリティ更新プログラムならびに、定例外の更新プログラムを適用することをお勧めします。

※ Windows Server 2012/Windows Server 2012 R2 で、Security Only のセキュリティ更新プログラムを適用しているお客様は定例外の更新プログラムの適用、Monthly Rollup のセキュリティ更新プログラムを適用しているお客様は最新の Monthly Rollup の適用が必要となります。

※ Windows Server 2016 以上のバージョンは、累積的な更新となっているため、最新のセキュリティ更新プログラムを適用してください。

追加の対応ステップ

11 月 10 日に公開したセキュリティ更新プログラムを展開時には、下記の手順にて展開することをお勧めします。

1. 下記のレジストリキーを設定します。もし既に存在する場合は、キーの値が ”1” に設定されているかを確認します。

重要: このセクションには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。

322756 Windows でレジストリをバックアップおよび復元する方法

2. フォレスト内のすべての DC と RODC に、セキュリティ更新プログラムが展開されていることを確認します。

※ 2021 年 4 月 13 日 (米国時間) に第二展開フェーズ、2021 年 7 月 13 日 (米国時間) に強制モード フェーズに移行していく予定です。2021 年 4 月に公開予定のセキュリティ更新プログラムにて、上記のレジストリ キーが 0 に設定されている場合には 1 と同等の動作となります。2021 年 7 月に公開予定のセキュリティ更新プログラムにでは、上記のレジストリ キーは無視され必須モード (変更不可) となります。懸念があるお客様は、上記のレジストリー キーを使用し、必須モードになることでお客様環境に問題がないかを早めにご検証ください。詳しくは、サポート技術情報 4598347 をご参照ください。

適用後に確認されている問題

11 月 10 日に公開したセキュリティ更新プログラムの適用後、“PerformTicketSignature” の設定値によって異なる問題が発生することを確認しています。この問題に該当するお客様は、最新のセキュリティ更新プログラム (Security Only を適用している場合は、11 月の定例外の更新プログラム) を適用することをお勧めします。

設定値 0 : スケジュールタスクやクラスタリング、LoB アプリケーションのサービスなど、S4U (Service for User) を使ったシナリオで認証に問題が発生する可能性があります。

設定値 1 (既定値 (レジストリ キーを設定していない場合)): Linux など Windows 以外のクライアントが Windows ドメインに Kerberos を使って認証しようとした際に問題が発生する可能性があります。

• 設定値が “1” の場合に、11 月のセキュリティ更新プログラムを適用した DC 上で更新されるべき Kerberos チケットを更新しようとするクライアントが、11 月のセキュリティ更新プログラムを適用していない DC や Windows Server 2008/Windows Server 2008 R2 SP1 上の DC にて発行された Kerberos チケットの更新に失敗するようになります。
• 設定値を “0” から “1” に変更する際も、更新可能な状態ではあるが 11 月のセキュリティ更新プログラムを適用した DC にて更新されていない、未解決の Kerberos チケットが存在する可能性があるため、同様の問題が発生する可能性があります。

また 11 月のセキュリティ更新プログラムを適用していない DC や Windows Server 2008/Windows Server 2008 R2 SP1 上の DC を通じて、Kerberos referral チケットをやり取りする場合に Windows と非 Windows デバイス間での Cross realm referrals に失敗する可能性があります。

設定値 2 : この値を設定すると強制モードとなり、今回のセキュリティ修正に準拠していない Kerberos チケットは拒否されるようになるため、すべての DC にセキュリティ更新プログラムが適用されていない場合に認証できない問題が発生する可能性があります。また現時点では、Windows Server 2008/Windows Server 2008 R2 SP1 上の DC が存在する場合、この値を設定することはお勧めしません。

最新の情報は、下記の公式情報にてご確認ください。

セキュリティ更新プログラム ガイド:

Kerberos KDC Security Feature Bypass Vulnerability

https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2020-17049

Windows Release Information (Windows 10 20H2):

Domain controllers in your enterprise might encounter Kerberos authentication issues

https://docs.microsoft.com/ja-jp/windows/release-information/status-windows-10-20h2#1522msgdesc

* 2020 年 12 月 9 日: 2020 年 12 月の月例の公開に合わせて、Windows Server 2008/Windows Server 2008 R2 のセキュリティ更新プログラムを追加しました。また既知の問題への対応を更新しました。

* 2020 年 12 月 17 日: 2021 年 2 月に強制モードに移行する予定であることを追記しました。

* 2021 年 1 月 13 日: 強制モードに移行する予定を変更しました。