Kerberos KDC の脆弱性 (CVE-2020-17049) に対応するためのガイダンス

マイクロソフトは、2020 年 11 月 10 日 (米国時間) に、Kerberos KDC (Key Distribution Center) に対する脆弱性情報 CVE-2020-17049 を公開するとともに、対応するためのセキュリティ更新プログラムを公開しました。この脆弱性に対応するためには、フォレスト内のすべての DC (Domain Controller) ならびに RODC (Read-Only Domain Controller) に対してセキュリティ更新プログラムを展開するだけではなく、追加の対応ステップが必要となる場合がありますので、Active Directory の管理者向けに対応のためのガイダンスをお知らせします。

脆弱性の概要

CVE-2020-17049 は、Key Distribution Center (KDC) が、Kerberos Constrained Delegation (KCD) を介した委任にサービス チケットを使用できるかどうかを判断する方法に、セキュリティ機能のバイパスの脆弱性が存在します。この脆弱性を悪用するために、KCD を使用するように構成された侵害対象のサービスは、委任に無効なサービス チケットを改ざんし、KDC に強制的に受け入れさせる可能性があります。KDC が KCD で使用されるサービス チケットを検証する方法を変更することで、この脆弱性を解決します。CVSS ベース スコアは “6.6” となっています。

セキュリティ更新プログラムの対象製品

(2020 年 11 月 19 日時点)

Windows Servers サポート技術情報番号
Windows Server 2012 4586834 (Monthly Rollup)

4586808 (Security Only)

Windows Server 2012 R2 4586845 (Monthly Rollup)

4586823 (Security Only)

Windows Server 2016 4586830
Windows Server 2019 4586793
Windows Server, version 1903/1909 4586786
Windows Server, version 2004/20H2 4586781

11 月 10 日に公開したセキュリティ更新プログラムでは、後述する問題が確認されています。この問題を修正した更新プログラムが定例外にて Microsoft Update Catalog 上で公開されています。該当するお客様は 11 月 10 に公開したセキュリティ更新プログラムならびに、定例外の更新プログラムを適用することをお勧めします。

Windows Servers サポート技術情報番号
Windows Server 2012 4594438
Windows Server 2012 R2 4594439
Windows Server 2016 4594441
Windows Server 2019 4594442
Windows Server, version 1903/1909 4594443
Windows Server, version 2004/20H2 4594440

※ Windows Server 2012/Windows Server 2012 R2 で、Security Only のセキュリティ更新プログラムを適用しているお客様は定例外の更新プログラムだけの適用、Monthly Rollup のセキュリティ更新プログラムを適用しているお客様は 11 月 10 日に公開したセキュリティ更新プログラムと定例外の更新プログラムの適用が必要となります。

※ Windows Server 2016 以上のバージョンは、定例外の更新プログラムだけの適用となります。

追加の対応ステップ

11 月 10 日に公開したセキュリティ更新プログラムを展開時には、下記の手順にて展開することをお勧めします。

  1. 下記のレジストリキーを設定します。もし既に存在する場合は、キーの値が ”1” に設定されているかを確認します。

重要: このセクションには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。

322756 Windows でレジストリをバックアップおよび復元する方法

レジストリ サブキー HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Kdc
PerformTicketSignature
データ型 REG_DWORD
データ 0 – チケットの署名は無効になり、ドメインは保護されません。
1 – この修正プログラムはドメイン コントローラーで有効になりますが、DC では、チケットが修正プログラムに準拠していることは必須ではありません。
2 – この修正プログラムは必須モードで有効になります。つまり、すべてのドメインにパッチを適用する必要があります。また、すべての DC に署名付きのチケットが必要になります。
既定値 1 (レジストリ キーが設定されていない場合)
再起動は必要? 不要
  1. フォレスト内のすべての DC と RODC に、セキュリティ更新プログラムが展開されていることを確認します。

適用後に確認されている問題

11 月 10 日に公開したセキュリティ更新プログラムの適用後、“PerformTicketSignature” の設定値によって異なる問題が発生することを確認しています。この問題に該当するお客様は、定例外にて公開した修正プログラムを適用することをお勧めします。

設定値 0: スケジュールタスクやクラスタリング、LoB アプリケーションのサービスなど、S4U (Service for User) を使ったシナリオで認証に問題が発生する可能性があります。

設定値 1 (既定値 (レジストリ キーを設定していない場合)): Linux など Windows 以外のクライアントが Windows ドメインに Kerberos を使って認証しようとした際に問題が発生する可能性があります。

  • 設定値が “1” の場合に、11 月のセキュリティ更新プログラムを適用した DC 上で更新されるべき Kerberos チケットを更新しようとするクライアントが、11 月のセキュリティ更新プログラムを適用していない DC や Windows Server 2008/Windows Server 2008 R2 SP1 上の DCにて発行された Kerberos チケットの更新に失敗するようになります。
  • 設定値を “0” から “1” に変更する際も、更新可能な状態ではあるが 11 月のセキュリティ更新プログラムを適用した DC にて更新されていない、未解決の Kerberos チケットが存在する可能性があるため、同様の問題が発生する可能性があります。

また 11 月のセキュリティ更新プログラムを適用していない DC や Windows Server 2008/Windows Server 2008 R2 SP1 上の DC を通じて、Kerberos referral チケットをやり取りする場合に Windows と非 Windows デバイス間での Cross realm referrals に失敗する可能性があります。

設定値 2 : この値を設定すると強制モードとなり、今回のセキュリティ修正に準拠していない Kerberos チケットは拒否されるようになるため、すべての DC にセキュリティ更新プログラムが適用されていない場合に認証できない問題が発生する可能性があります。また現時点では、Windows Server 2008/Windows Server 2008 R2 SP1 上の DC が存在する場合、この値を設定することはお勧めしません。

最新の情報は、下記の公式情報にてご確認ください。

セキュリティ更新プログラム ガイド:

Kerberos KDC Security Feature Bypass Vulnerability

https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2020-17049

Windows Release Information (Windows 10 20H2):

Domain controllers in your enterprise might encounter Kerberos authentication issues

https://docs.microsoft.com/ja-jp/windows/release-information/status-windows-10-20h2#1522msgdesc

Share