PowerScale:Netlogon RPCの特権昇格の脆弱性(CVE-2022-38023)
Summary: CVE-2022-38023は、PowerScaleクライアントに機能的な影響を与えません。NetlogonにAES暗号化を使用するには、OneFSを9.5以降にアップグレードする必要があります。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
PowerScale OneFSは、Active Directoryと通信するための安全なチャネルとしてNetlogonを使用します。この記事では、CVE-2022-38023がPowerScale OneFSに与える影響について説明します。
CVE-2022-38023、Netlogon RPCの特権昇格の脆弱性に関するMicrosoftのセキュリティ脆弱性の発表は次のとおりです。
Microsoftは2022年11月8日にアップデートをリリースし、以下のシステムレジストリキーを導入しました。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal
これには 3 つの値があります。
0 – Disabled 1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts. 2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).
PowerScale OneFSは、デフォルトでNetlogonのセキュア チャネル接続に署名して封印します。CVE-2022-38023のためにNetlogonの封印を要求しても、PowerScale OneFSには影響 しません 。
ドメイン コントローラーのWindowsイベント ビューアーに、次のイベントが記録されている場合があります。
| イベントID | 5840 |
| イベントテキスト | Netlogon サービスは、RC4 を使用してクライアントとのセキュリティで保護されたチャネルを作成しました。 |
新しいイベントID 5840 は、 NTLM Netlogonセキュア チャネルにデフォルトでRC4を使用するOneFSリリース9.4.x以前を実行しているPowerScaleクライアントで作成されます。
リリース9.5.0以降を実行しているPowerScale OneFSクライアントでは、新しいイベントID 5840は作成 されません 。PowerScale OneFS 9.5.0は、NTLM NetlogonにAES暗号化を使用します。
Cause
Microsoft は、Netlogon 通信の封印を要求するための段階的なアプローチを導入しました。
Resolution
CVE-2022-38023に対処するためのMicrosoftによるWindowsに対するこれらのアップデートは、7.x以降のサポート対象リリースを実行しているPowerScale OneFSクライアントには機能的な影響を与え ません 。
OneFSでNTLM Netlogon Secure ChannelのAES暗号化を利用するには、PowerScale OneFSリリース9.5.0以降にアップグレードします。
NTLM Netlogon Secure ChannelのAES暗号化のサポートは、PowerScale OneFSリリース9.4.x以前にはバックポートされていません。
関連リソース
このトピックに関連し、関心がある可能性のある推奨リソースを次に示します。
- Dellの記事152189「PowerScale OneFSの情報ハブ(英語)」
- Dellの記事184794「PowerScale OneFSの現在のパッチ」
- Dellナレッジベース記事63022「PowerScale: OneFS:NFSクライアント設定のベスト プラクティス
Additional Information
次のレジストリ値は既定では適用されず、意図的に有効にしない限り、認証エラーは発生しません。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients
値を意図的にTRUE(1)に設定すると、OneFSリリース9.4.x以前でNTLM認証が失敗します。
次のPowerShellコマンドを実行して、設定を確認します。
Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients
有効になっている場合の出力例:
OneFS 9.4以前では、 RejectMd5Clients 値が有効な場合、失敗したNTLM認証について/var/log/lsassd.logに同様のエラーが表示されます。
2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR) 2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED') 2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295
Article Properties
Article Number: 000207527
Article Type: Solution
Last Modified: 17 Dec 2025
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.