2022年5月分のMicrosoftからリリースされたサーバOS、クライアントOSのセキュリティ更新プログラム情報について調査した記録をまとめてみました。
今回、調査した対象製品は下記の通り。
・Windows Server 2022
・Windows Server 2019
・Windows 11
・Windows 10 v21H2
・Windows 10 v21H1
・Windows 10 v20H2
■セキュリティ概要情報
・CVE-2022-26925 Windows LSA のなりすましの脆弱性は、既に脆弱性の悪用が行われている。また脆弱性の情報が一般に公開されている。
→悪用実績あり、一般公開あり(ゼロデイ脆弱性&ゼロデイ攻撃)
・CVE-2022-22713 (Windows Hyper-V) は、脆弱性の悪用は確認されていないが、脆弱性の情報が一般に公開されていたことを確認済。
→悪用実績なし、一般公開あり(ゼロデイ脆弱性)
・CVE-2022-21978 Microsoft Exchange の脆弱性からシステムを保護するためには、セキュリティ更新プログラムの適用に加え、追加の作業を実施する必要あり。
・CVE-2022-26931 および CVE-2022-26923 は、Active Directory 環境における証明書ベースの認証動作に存在する特権昇格の問題です。
2022 年 5 月のセキュリティ更新プログラムを適用することで、”互換モード (Compatibility Mode)” になる。
■脆弱性
| CVE# | タイトル | 深刻度 | 一般 公開 | 悪用 実績 | 悪用可能性 指標 | ベーススコア | テンポラリスコア | 備考 |
| CVE-2022-22017 | リモート デスクトップ クライアントのリモートでコードが実行される脆弱性 | 緊急 | なし | なし | 悪用される可能性が高い | 8.8 | 7.7 | 記事 Windows11 Windows Server 2022のみ |
| CVE-2022-22713 | Windows Hyper-V のサービス拒否の脆弱性 | 重要 | あり | なし | 悪用される可能性は低い | 5.6 | 5.1 | 記事 Windows 10 (20H2、21H1、21H2) |
| CVE-2022-23270 | Point-to-Point Tunneling プロトコルのリモートでコードが実行される脆弱性 | 重要 | なし | なし | 悪用される可能性が高い | 8.1 | 7.1 | 記事 |
| CVE-2022-23279 | Windows ALPC の特権の昇格の脆弱性 | 重要 | なし | なし | 悪用される可能性が高い | 7.0 | 6.1 | 記事 ※Windows Server 2019は対象外 |
| CVE-2022-26923 | Active Directory Domain Services Elevation of Privilege Vulnerability | 緊急 | なし | なし | 悪用される可能性が高い | 8.8 | 7.7 | 記事 |
| CVE-2022-26925 | Windows LSA のなりすましの脆弱性 | 重要 | あり | あり | 悪用の事実を確認済 | 8.1 | 7.1 | 記事 |
| CVE-2022-26937 | Microsoft ネットワーク ファイル システムのリモートでコードが実行される脆弱性 | 重要 | なし | なし | 悪用される可能性が高い | 9.8 | 8.5 | 記事 Windows Server 2022 Windows Server 2019 |
| CVE-2022-29104 | Windows 印刷スプーラーの特権の昇格の脆弱性 | 重要 | なし | なし | 悪用される可能性が高い | 7.8 | 6.8 | 記事 |
| CVE-2022-29114 | Windows 印刷スプーラーの情報漏えいの脆弱性 | 重要 | なし | なし | 悪用される可能性が高い | 5.5 | 4.8 | 記事 |
| CVE-2022-29132 | Windows 印刷スプーラーの特権の昇格の脆弱性 | 重要 | なし | なし | 悪用される可能性が高い | 7.8 | 6.8 | 記事 |
| CVE-2022-29142 | Windows カーネルの特権の昇格の脆弱性 | 重要 | なし | なし | 悪用される可能性が高い | 7.0 | 6.1 | 記事 |
■Windows11
Windows11:KB5013943
(OSビルド:22000.675)
2022-05 x64 ベース システム用 Windows 11 の累積更新プログラム (KB5013943)
└Windows 11 サービス スタック更新プログラム 22000.652
●概要(Summary)
・デバイスをセーフモードで起動した場合に画面がちらつく可能性がある既知の問題に対処。
ファイルエクスプローラー、[スタート]メニュー、タスクバーなど、explorer.exeに依存するコンポーネントが影響を受け、不安定に見える場合があります。
●既知の問題 (Known issues)
| 事象 | 回避策 |
| 一部の.NET Framework 3.5アプリで問題が発生したり、開くことができなかったりする場合がある。 影響を受けるアプリは、Windows Communication Foundation(WCF)やWindows Workflow(WWF)コンポーネントなど、.NETFramework3.5の特定のオプションコンポーネントを使用しています。 | この問題は、Windowsの機能で.NETFramework3.5とWindowsCommunicationFoundationを再度有効にすることで軽減できる。 管理者特権のコマンドプロンプト(管理者として実行)を使用し、次のコマンドを実行する dism /online /enable-feature /featurename:netfx3 /all dism /online /enable-feature /featurename:WCF-HTTP-Activation dism /online /enable-feature /featurename:WCF-NonHTTP-Activation ■参考情報 https://docs.microsoft.com/ja-jp/dotnet/framework/install/dotnet-35-windows#enable-the-net-framework-35-in-control-panel |
| 特定のGPUを使用するWindowsデバイスにより、アプリが予期せず終了したり、Direct3D 9を使用する一部のアプリに影響を与える断続的な問題が発生したりする場合がある。 また、Windowsログ/アプリケーションのイベントログでエラーが発生する場合がある。 d3d9on12.dllであり、例外コードは0xc0000094です。 | Known Issue Rollback(KIR)を使用 (既知の問題のロールバック) |
| 2022年5月10日にリリースされたアップデートをドメインコントローラーにインストールした後、一部のサービスのサーバーまたはクライアントで認証エラーが発生する場合がある。 これらのサービスには、ネットワークポリシーサーバー(NPS)、ルーティングとリモートアクセスサービス(RRAS)、Radius、拡張認証プロトコル(EAP)、および保護された拡張認証プロトコル(PEAP)が含まれます。 ドメインコントローラーがマシンアカウントへの証明書のマッピングを管理する方法に関連する問題が見つかりました。 ※ドメインコントローラーとして使用しているサーバのみ | この問題の推奨される緩和策は、証明書をActiveDirectoryのマシンアカウントに手動でマップすることです。 ■参考情報 https://support.microsoft.com/ja-jp/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16#bkmk_certmap |
■Windows10(Windows 10 v20H2、Windows 10 v21H1、Windows 10 v21H2)
Windows 10 v20H2、Windows 10 v21H1、Windows 10 v21H2:KB5013942
(OSビルド:19042.1706、19043.1706、19044.1706)
・2022-05 x64 ベース システム用 Windows 10 Version 20H2 の累積更新プログラム (KB5013942)
└Windows 10サービス スタック更新プログラム – 19042.1706
・2022-05 x64 ベース システム用 Windows 10 Version 21H1 の累積更新プログラム (KB5013942)
└Windows 10サービス スタック更新プログラム – 19043.1706
・2022-05 x64 ベース システム用 Windows 10 Version 21H2 の累積更新プログラム (KB5013942)
└Windows 10サービス スタック更新プログラム – 19044.1706
●概要(Summary)
・Wiindows 20H2 は2022年5月10日にサポートが終了する。
→セキュリティ更新プログラムの更新が停止する為、Windows10のバージョンをアップデートするか、Windows11に更新する必要あり
●既知の問題(Known issues)
| 事象 | 回避策 |
| 特定のGPUを使用するWindowsデバイスにより、アプリが予期せず終了したり、Direct3D 9を使用する一部のアプリに影響を与える断続的な問題が発生したりする場合がある。 また、Windowsログ/アプリケーションのイベントログでエラーが発生する場合がある。 d3d9on12.dllであり、例外コードは0xc0000094です。 | Known Issue Rollback(KIR)を使用 (既知の問題のロールバック) |
| 2022年5月10日にリリースされたアップデートをドメインコントローラーにインストールした後、一部のサービスのサーバーまたはクライアントで認証エラーが発生する場合がある。 これらのサービスには、ネットワークポリシーサーバー(NPS)、ルーティングとリモートアクセスサービス(RRAS)、Radius、拡張認証プロトコル(EAP)、および保護された拡張認証プロトコル(PEAP)が含まれます。 ドメインコントローラーがマシンアカウントへの証明書のマッピングを管理する方法に関連する問題が見つかりました。 ※ドメインコントローラーとして使用しているサーバのみ | この問題の推奨される緩和策は、証明書をActiveDirectoryのマシンアカウントに手動でマップすることです。 ■参考情報 https://support.microsoft.com/ja-jp/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16#bkmk_certmap |
■Windows Server 2022
Windows:KB5013944
(OSビルド:20348.707)
・2022-05 Microsoft server operating system version 21H2 x64 ベース システム用の累積更新プログラム (KB5013944)
└Windows 10 サービス スタック更新プログラム – 20348.677
●概要(Summary)
特記事項なし。
●既知の問題
| 事象 | 回避策 |
| 2022年5月10日にリリースされたアップデートをドメインコントローラーにインストールした後、一部のサービスのサーバーまたはクライアントで認証エラーが発生する場合がある。 これらのサービスには、ネットワークポリシーサーバー(NPS)、ルーティングとリモートアクセスサービス(RRAS)、Radius、拡張認証プロトコル(EAP)、および保護された拡張認証プロトコル(PEAP)が含まれます。 ドメインコントローラーがマシンアカウントへの証明書のマッピングを管理する方法に関連する問題が見つかりました。 ※ドメインコントローラーとして使用しているサーバのみ | この問題の推奨される緩和策は、証明書をActiveDirectoryのマシンアカウントに手動でマップすることです。 ■参考情報 https://support.microsoft.com/ja-jp/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16#bkmk_certmap |
■Windows Server 2019
Windows:KB5013941
(OSビルド:17763.2928)
・2022-05 x64 ベース システム用 Windows Server 2019 の累積更新プログラム (KB5013941)
└Windows 10 サービス スタック更新プログラム – 17763.2744
●概要(Summary)
・特記事項なし
●既知の事象(Known issues)
| 事象 | 回避策 |
| 2022年5月10日にリリースされたアップデートをドメインコントローラーにインストールした後、一部のサービスのサーバーまたはクライアントで認証エラーが発生する場合がある。 これらのサービスには、ネットワークポリシーサーバー(NPS)、ルーティングとリモートアクセスサービス(RRAS)、Radius、拡張認証プロトコル(EAP)、および保護された拡張認証プロトコル(PEAP)が含まれます。 ドメインコントローラーがマシンアカウントへの証明書のマッピングを管理する方法に関連する問題が見つかりました。 ※ドメインコントローラーとして使用しているサーバのみ | この問題の推奨される緩和策は、証明書をActiveDirectoryのマシンアカウントに手動でマップすることです。 ■参考情報 https://support.microsoft.com/ja-jp/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16#bkmk_certmap |
■〆
今月の更新プログラム整理も完了しました。
お疲れ様でした。
