Microsoft セキュリティ情報 MS15-122 - 重要

セキュリティ機能バイパスに対処するための Kerberos のセキュリティ更新プログラム (3105256)

公開日: 2015 年 11 月 10 日 |更新日: 2016 年 4 月 7 日

バージョン: 1.2

概要

このセキュリティ更新プログラムは、Microsoft Windows のセキュリティ機能バイパスを解決します。 攻撃者は、ターゲット コンピューターで Kerberos 認証をバイパスし、BitLocker によって保護されたドライブを復号化する可能性があります。 バイパスは、ターゲット システムで PIN または USB キーなしで BitLocker が有効になっており、コンピューターがドメインに参加している場合にのみ悪用される可能性があります。

このセキュリティ更新プログラムは、サポートされているすべてのエディションの Windows で重要と評価されています。 詳細については、「 影響を受けるソフトウェア 」セクションを参照してください。

この更新プログラムは、パスワード変更の前に実行される追加の認証チェックを追加することで、バイパスに対処します。 この脆弱性の詳細については、「脆弱性 情報 」セクションを参照してください。

この更新プログラムの詳細については、「 Microsoft サポート技術情報の記事3105256」を参照してください。

影響を受けるソフトウェアと脆弱性の重大度評価

次のソフトウェア バージョンまたはエディションが影響を受ける。 一覧にないバージョンまたはエディションは、サポート ライフ サイクルを過ぎているか、影響を受けません。 ソフトウェアのバージョンまたはエディションのサポート ライフ サイクルを確認するには、「Microsoft サポート ライフサイクル」を参照してください。

次の重大度評価は、脆弱性の潜在的な最大の影響を想定しています。 このセキュリティ情報のリリースから 30 日以内に、脆弱性の重大度評価とセキュリティへの影響に関する脆弱性の悪用可能性の可能性については、 11 月のセキュリティ情報の概要にある悪用可能性インデックスを参照してください。

脆弱性の重大度評価と影響を受けるソフトウェアによる最大のセキュリティ影響
影響を受けるソフトウェア Windows Kerberos セキュリティ機能バイパス - CVE-2015-6095 更新置換済み*
Windows Vista
Windows Vista Service Pack 2 (3101246) 大事な セキュリティ機能のバイパス なし
Windows Vista x64 Edition Service Pack 2 (3101246) 大事な セキュリティ機能のバイパス なし
Windows Server 2008
Windows Server 2008 for 32 ビット システム Service Pack 2 (3101246) 大事な セキュリティ機能のバイパス なし
Windows Server 2008 for x64 ベースのシステム Service Pack 2 (3101246) 大事な セキュリティ機能のバイパス なし
Windows Server 2008 for Itanium ベースのシステム Service Pack 2\ (3101246) 大事な セキュリティ機能のバイパス MS14-068 の3011780
Windows 7
Windows 7 for 32 ビット システム Service Pack 1[1]\ (3101246) 大事な セキュリティ機能のバイパス MS15-076 の3067505
Windows 7 for x64 ベースのシステム Service Pack 1[1]\ (3101246) 大事な セキュリティ機能のバイパス MS15-076 の3067505
Windows Server 2008 R2
Windows Server 2008 R2 for x64 ベースのシステム Service Pack 1[1]\ (3101246) 大事な セキュリティ機能のバイパス MS15-076 の3067505
Windows Server 2008 R2 for Itanium ベースのシステム Service Pack 1[1]\ (3101246) 大事な セキュリティ機能のバイパス MS15-076 の3067505
Windows 8 および Windows 8.1
32 ビット システムのWindows 8[2]\ (3101246) 大事な セキュリティ機能のバイパス MS15-052 の3050514
x64 ベースのシステムのWindows 8[2]\ (3101246) 大事な セキュリティ機能のバイパス MS15-052 の3050514
32 ビット システムのWindows 8.1 \ (3101246) 大事な セキュリティ機能のバイパス なし
x64 ベースのシステムのWindows 8.1 \ (3101246) 大事な セキュリティ機能のバイパス なし
Windows Server 2012 および Windows Server 2012 R2
Windows Server 2012[2]\ (3101246) 大事な セキュリティ機能のバイパス MS15-052 の3050514
Windows Server 2012 R2 \ (3101246) 大事な セキュリティ機能のバイパス なし
Windows 10
32 ビット システムのWindows 10[3]\ (3105213) 大事な セキュリティ機能のバイパス 3097617
x64 ベースのシステムのWindows 10[3]\ (3105213) 大事な セキュリティ機能のバイパス 3097617
Windows 10 バージョン 1511 for 32-bit Systems[3]\ (3105211) 大事な セキュリティ機能のバイパス なし
Windows 10 バージョン 1511 for x64-based Systems[3]\ (3105211) 大事な セキュリティ機能のバイパス なし
Server Core インストール オプション
Windows Server 2008 for 32 ビット システム Service Pack 2 (Server Core インストール) \ (3101246) 大事な セキュリティ機能のバイパス なし
Windows Server 2008 for x64 ベースのシステム Service Pack 2 (Server Core インストール) \ (3101246) 大事な セキュリティ機能のバイパス なし
Windows Server 2008 R2 for x64 ベースのシステム Service Pack 1 (Server Core インストール) \ (3101246) 大事な セキュリティ機能のバイパス MS15-076 の3067505
Windows Server 2012 (Server Core のインストール)[2]\ (3101246) 大事な セキュリティ機能のバイパス MS15-052 の3050514
Windows Server 2012 R2 (Server Core インストール) \ (3101246) 大事な セキュリティ機能のバイパス なし

[1]MS15-121 の更新プログラムの3081320と MS15-115 の更新プログラムの3101746は、このセキュリティ情報 MS15-122 の3101246と同時にリリースされることに注意してください。 Windows 7 Service Pack 1 または Windows Server 2008 R2 Service Pack 1 に 3 つすべての更新プログラムを手動でインストールする予定のお客様は、更新プログラムを次の順序でインストールする必要があります。最初3101246、3081320秒、3 番目3101746 (自動更新が有効になっているお客様は自動的に処理されます)。 または、3101246と3081320の更新プログラムを含む3101746のみをインストールすることもできます。 詳細については、「 Microsoft サポート技術情報の記事」3105256の「既知の問題」セクションを参照してください。

[2]MS15-121 の更新プログラムの3081320と MS15-115 の更新プログラムの3101746は、MS15-122 の3101246と同時にリリースされることに注意してください。 Windows 8またはWindows Server 2012に 3 つの更新プログラムをすべて手動でインストールする予定のお客様は、次の順序で更新プログラムをインストールする必要があります。最初3101246、3101746秒、3 番目3081320 (自動更新が有効になっているお客様は自動的に処理されます)。 または、3101246と3101746の更新プログラムを含む3081320のみをインストールすることもできます。 詳細については、「 Microsoft サポート技術情報の記事」3105256の「既知の問題」セクションを参照してください。

[3]Windows 10更新プログラムは累積的です。 セキュリティ以外の更新プログラムを含むだけでなく、毎月のセキュリティ リリースに付属するすべてのWindows 10影響を受ける脆弱性に対するすべてのセキュリティ修正プログラムも含まれています。 更新プログラムは 、Microsoft Update カタログから入手できます。

Windows Server Technical Preview 3 が影響を受ける点に注意してください。 このオペレーティング システムを実行しているお客様は、Windows Updateから入手できる更新プログラムを適用することをお勧めします。 

*[置換更新] 列には、置き換えられた更新プログラムのチェーン内の最新の更新プログラムのみが表示されます。 置き換えられた更新プログラムの包括的な一覧については、 Microsoft Update カタログに移動し、更新プログラムの KB 番号を検索して、更新プログラムの詳細を表示します (置き換えられた更新プログラムの情報は[パッケージの詳細] タブで提供されます)。

更新に関する FAQ

Windows RTとWindows RT 8.1 は、影響を受けるソフトウェアと脆弱性の重大度評価の表には記載されていません。 3101246更新プログラムが提供される理由
脆弱なコードは、サポートされているすべてのバージョンの Windows に存在しますが、Windows RTまたはWindows RT 8.1 を実行しているシステムでは、この脆弱性を悪用することはできません。 多層防御対策として、この更新プログラムは、脆弱なコードを含むすべてのサポートされている製品とバージョンに実装されています。

脆弱性情報

Windows Kerberos セキュリティ機能バイパス - CVE-2015-6095

Kerberos がワークステーションにサインインしているユーザーのパスワード変更をチェックできない場合、Windows にはセキュリティ機能のバイパスが存在します。 攻撃者は、ターゲット コンピューターで Kerberos 認証をバイパスし、BitLocker によって保護されたドライブを復号化する可能性があります。

攻撃者は、悪意のある Kerberos キー配布センター (KDC) にワークステーションを接続することで、Kerberos 認証をバイパスする可能性があります。

この更新プログラムは、追加の認証チェックを追加することでバイパスに対処します。 Microsoft は、調整された脆弱性の開示を通じて、セキュリティ機能バイパスに関する情報を受け取っています。 このセキュリティ情報が最初に発行された時点で、Microsoft はこのバイパスを悪用しようとする攻撃を認識していません。

軽減要因

状況によっては、次 の軽減要因 が役立つ場合があります。

  • このバイパスは、ターゲット システムで PIN または USB キーなしで BitLocker が有効になっている場合にのみ悪用される可能性があります。
  • 攻撃を成功させるには、ドメイン ユーザーがターゲット コンピューターにログオンしている必要があります。

対処方法

Microsoft は、この脆弱性 の回避策を 特定していません。

セキュリティ更新プログラムの展開

セキュリティ更新プログラムの展開情報については、「エグゼクティブの概要」で 参照 されている Microsoft サポート技術情報の記事を参照してください。

謝辞

Microsoft は、連携した脆弱性の開示を通じてお客様を保護するのに役立つセキュリティ コミュニティの人々の取り組みを認識しています。 詳細については、「 受信確認 」を参照してください。

免責情報

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく "現状有姿" で提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を否認します。 Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接、間接、付随的、派生的、事業利益の損失、特別な損害を含むいかなる損害に対しても、Microsoft Corporation またはそのサプライヤーは一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限が適用されない場合があります。

リビジョン

  • V1.0 (2015 年 11 月 10 日): セキュリティ情報が公開されました。
  • V1.1 (2015 年 12 月 9 日): CVE-2015-6095 を悪用するために、攻撃者がターゲット コンピューターに物理的にアクセスできるという要件への参照をすべて削除するようにセキュリティ情報を改訂しました。 これは情報の変更のみです。 更新プログラムを既に正常にインストールしているお客様は、何も行う必要はありません。
  • V1.2 (2016 年 4 月 7 日): MS15-115、MS15-121 の3081320、MS15-122 の3101246のセキュリティ更新プログラムの3101746のインストール順序をさらに明確にするために、 影響を受けるソフトウェアと脆弱性の重大度評価 の表に従って脚注を更新しました。 これは情報の変更のみです。 更新プログラムを既に正常にインストールしているお客様は、何も行う必要はありません。

Page generated 2016-04-07 10:21-07:00。