Netlogon RPCの特権昇格の脆弱性は、2022年11月8日のセキュリティ アップデートを受け取っていないすべてのバージョンのWindowsに存在します。Microsoftから:
| 2022年11月8日以降のWindowsアップデートでは、RPCの封印ではなくRPC署名を使用する場合のNetlogonプロトコルの弱点に対処しています。詳細については、 CVE-2022-38023 を参照してください。
Rpc(Netlogonリモート プロトコル リモート プロシージャ コール)インターフェイスは、主にデバイスとそのドメイン間の関係、およびドメイン コントローラー(DC)とドメイン間の関係を維持するために使用されます。
このアップデートは、デフォルトでCVE-2022-38023からWindowsデバイスを保護します。サード パーティ製クライアントおよびサード パーティ製ドメイン コントローラーの場合、アップデートはデフォルトで互換モードになっており、そのようなクライアントからの脆弱な接続が可能です。 [...]
重要 2023年6月以降、すべてのWindowsドメイン コントローラーで強制モードが有効になり、非対応デバイスからの脆弱な接続がブロックされます。その時点では、アップデートを無効にすることはできませんが、互換モードの設定に戻る場合があります。互換モードは2023年7月に削除されます。 [1] |
2023年4月11日のセキュリティ アップデートを受け取ったWindowsドメインの場合、Microsoftは、システムが安全でない方法でドメインに接続していることを示すメッセージをドメイン コントローラーのイベント ログに投稿しています。少なくともバージョン5.0.6を実行しているが、ドメインに接続しているバージョン5.1.0より前のDell Unityシステムでは、イベント ログにエラー5838が生成されます。
| イベント ログ |
システム |
| イベント タイプ |
エラー |
| イベント ソース |
Netlogon |
| イベントID |
5838 |
| イベント テキスト |
Netlogonサービスで、RPCの封印ではなくRPC署名を使用してクライアントが検出されました。 |
このメッセージは、システムが将来のセキュリティ アップデートによって最終的にブロックされることを管理者に通知することを目的としています。
2023年6月13日、Microsoftは別のセキュリティ アップデートを送信します。これにより、すべてのサード パーティドメイン参加システムで強制モードが有効になり、RPC封印をサポートしていないすべてのデバイスからの接続がブロックされます。管理者は制限を削除できませんが、サード パーティー製システムを互換モードに戻すことができます。
ドメインを互換モードにする機能は、2023年7月11日に以降のセキュリティ アップデートによって削除されます。
修正:
Unity OE(Operating Environment)バージョン5.1.0以降では、デルはMicrosoftの要求に応じてRPCの封印を完全にサポートしています。バージョン5.1.0は、2021年6月21日にリリースされました。この問題を解決するには、Unity OEバージョン5.1.0以降にアップグレードします。
回避 策:
- 2023年6月に強制モードが有効になっている場合、管理者は、5.1.0以降にアップグレードされていないUnityシステムをサポートするために、サード パーティー接続を互換モードに戻すことができます。
- 2023年7月に互換モードが削除された場合、これ以上の回避策はありません。管理者は、上記の修正に従って、Dell Unityシステムとの通信を再確立する必要があります。