米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は9月21日(米国時間)、「Microsoft Releases Out-of-Band Security Update for Microsoft Endpoint Configuration Manager」において、Microsoft Endpoint Configuration Managerに脆弱性が報告され、Microsoftが緊急のセキュリティ更新プログラムをリリースしたと伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムに対してなりすまし攻撃を行われる危険性がある。
Microsoft Endpoint Configuration Managerは、WindowsクライアントやWindowsサーバに対する管理機能を提供するツールである。今回報告された脆弱性は「CVE-2022-37972」として追跡されており、Microsoftはこれに対して緊急のセキュリティ更新プログラムとして「KB15498768」をリリースした。問題の詳細および対処方法は次のセキュリティ更新プログラムガイドおよびサポートドキュメントにまとめられている。
- CVE-2022-37972 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft Endpoint Configuration Manager Spoofing Vulnerability
- Microsoft Endpoint Configuration Manager の NTLM 接続フォールバック更新プログラム - Configuration Manager | Microsoft Learn
Microsoftによると、この問題はConfiguration Managerの認証機能に影響するもので、クライアントプッシュインストールのプロパティにおいて[NTLM への接続フォールバックを許可する]を無効に設定しておいたとしても、Kerberos認証エラーが発生した場合にNTLM接続を試みてしまうという。NTLM(NT LAN Manager authentication)は旧来のWindowsで用いられていた認証方式であり、Windows 2000以降はKerberos認証が標準となったが、[NTLM への接続フォールバックを許可する]を有効にしている場合にはKerberos認証が使えないケースでNTLM接続を試行することができる。
Configuration Manager バージョン2207以降においては、このオプションはデフォルトで無効に設定されている。Microsoftでは、セキュリティを強化するために、既存の環境でも可能な限りこのオプションを無効にすることを推奨している。
CVE-2022-37972のCVSS v3ベーススコアは「7.5」で、深刻度は5段階中2番目に高い「重要(Important)」に分類されている。本稿執筆時点では、この脆弱性の攻撃への悪用は確認されていないが、すでに攻撃手法が公開されているとのことで注意が必要だ。