11月19日(水)に Microsoft からセキュリティパッチがリリースされました。
定例のセキュリティリリースは毎月第2の水曜(正式には毎月第2火曜の翌日、アメリカ基準のため)なのですが、それとは別のリリースとなっています。
リリース情報は Microsoft のサイトにあります。
リリース情報
MS14-068 - 緊急
https://technet.microsoft.com/ja-jp/library/security/ms14-068
Kerberos の脆弱性により特権が昇格される (3011780)
なぜ定例のパッチではないリリースとなったか
2014年11月11日(水)の定例のリリースは事前アナウンスは16件でしたが、リリースされたのが14件でした。
その時に見送られたパッチになります。
この意味も紐解いてみようと思います。
Kerberos って何ですか?
ネットワーク上の認証方式の1つでサーバとクライアントで身元の確認を行うのに使われる。
共通鍵の暗号化を行う。
Active Directory の推奨の認証方式。
どこに脆弱性があるんですか?
サーバ側で認証の要求をチェックする仕組みに脆弱性があったそうです。
例えばユーザー権限のアカウントを持ってる人が、ネットワークのアクセスをするのにADへ認証をしに行ったときに、ユーザー権限ではなくてアドミン権限を手に入れることができるというものです。
パッチはどこに適用するんですか?
ドメインコントローラに急いで適用するよう Microsoft はアナウンスしています。
合わせて、ドメインコントローラ以外は今回の問題の影響はないが、多層防御の更新("Defense in Depth" update)をするともアナウンスしています。
この攻撃を検知する仕組みがありますか?
パッチを適用する前に、この攻撃が成功した場合の検知方法の一例が Microsoft の Security Research and Defense Blog にあります。
と、Security ID の名前と Account Name の名前が異なっているということです。
パッチ適用後はこのようなログインは失敗しますからこのようなイベンログは出てこないです。
※ログイン失敗のイベントログで、Additional Information のところに failure code が 0xf と記載がされます。
登録:
コメントの投稿 (Atom)
0 コメント:
コメントを投稿