2015/02/16

グループポリシーの脆弱性は MS15-011(3000483) の更新だけでは解決されない

2015 年 2 月の Windows Update で、グループ ポリシーのリモート コード実行の脆弱性 (CVE-2015-0008) を解決する更新プログラム MS15-011/KB3000483 が Windows Vista 以降および Windows Server 2008 以降に対して配布されましたが、この更新プログラムをインストールしただけでは脆弱性の解決にはならないそうです。追加でグループポリシーの構成をする必要があります。(グループポリシーを使わないワークグループ環境には関係ない話です)

マイクロソフト セキュリティ情報 MS15-011 - 緊急 > グループ ポリシーの脆弱性により、リモートでコードが実行される (3000483)
[URL] https://technet.microsoft.com/ja-jp/library/security/MS15-011


この更新プログラムは、Windows に UNC Hardened Access という新しいポリシーを追加するもので、グループポリシーの脆弱性を解決するにはグループポリシー関連のスクリプトや実行ファイルが配置される NETLOGON 共有と SYSVOL 共有に対して、UNC Hardened Access を構成する必要があります。具体的には、ドメイン レベルのグループ ポリシー オブジェクトで以下のポリシーを有効化して...

コンピューターの構成\ポリシー\管理用テンプレート\ネットワーク\ネットワーク プロバイダー\強化された UNC パス

次の 2 つの UNC パスに対して、相互認証と整合性の確認を要求するようにします。

\\*\SYSVOL      RequireMutualAuthentication=1, RequireIntegrity=1
\\*\NETLOGON  RequireMutualAuthentication=1, RequireIntegrity=1


Windows Server 2003 に対しては MS15-011 の更新プログラムは提供されません。もちろん、Windows XP も。これらのバージョン以前は、グループポリシーの脆弱性を抱えたままということ。

「強化された UNC パス」ポリシーで構成できる RequireMutualAuthentication は Kerberos 認証の相互認証の検証、RequireIntegrity は SMB 署名による整合性の検証、RequrePrivacy は SMB 暗号化 (SMB 3.0 以上が必要) の検証を行うもの。このポリシーを設定したからといって、相互認証や SMB 署名、SMB 暗号化のオン/オフが行われるわけではありません。ですので、ドメイン内に Windows Server 2003 や Windows XP Professional のメンバーがいたとしても、このポリシーの設定で NETLOGON 共有や SYSVOL 共有にアクセスできなくなることは決してありません。

「強化された UNC パス」ポリシーは任意の UNC パスに対して設定できますが、旧バージョンの Windows や NAS デバイス、あるいは Kerberos 相互認証を利用できないワークグループ構成の共有に対して設定してしまうと、その UNC パスに接続できなくなることがあるので要注意。例えば、SMB 暗号化に対応していない Windows Server 2003 (2008、2008 R2 でも) の共有に対して RequirePrivacy = 1 を設定したり、NTLM 認証しか使用できない共有に RequreMutualAuthentication = 1 を設定すると、Windows Vista/2008 以降のドメイン メンバーからこれらの共有に対するアクセスは拒否されます。


詳しくは、以下のサポート技術情報とブログを参照してください。

[MS15-011] グループ ポリシーの脆弱性により、リモートでコードが実行される (2015 年 2 月 10 日) 
[URL]  https://support.microsoft.com/kb/3000483/ja
TechNet Blogs > Security Research and Defense Blog > MS15-011 & MS15-014: Hardening Group Policy
[URL]  http://blogs.technet.com/b/srd/archive/2015/02/10/ms15-011-amp-ms15-014-hardening-group-policy.aspx

2/23 追記)
TechNet Blogs > 日本のセキュリティチーム > マイクロソフト セキュリティ情報 MS15-011「グループ ポリシーの脆弱性により、リモートでコードが実行される」適用ガイド (Active Directory 環境をご利用のお客様のみ対象)
[URL] http://blogs.technet.com/b/jpsecurity/archive/2015/02/20/ms15-011-deployment-guide.aspx

0 件のコメント: