2023年3月15日(※米国時間 3月14日) にセキュリティ更新プログラムがリリースされました。
サーバOS、クライアントOSのセキュリティ更新プログラム情報について調査した記録をまとめてみました。
今回、調査した対象製品は下記の通り。
・Windows Server 2022
・Windows Server 2019
・Windows 11
・Windows 10 v21H2
・Windows 10 v21H1
・Windows 10 v20H2
■セキュリティ概要情報
・CVE-2023-24880 Windows SmartScreen のセキュリティ機能のバイパスの脆弱性は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報の一般への公開、脆弱性の悪用が確認されている。
→悪用実績あり、一般公開あり
・CVE-2023-23397 Microsoft Outlook の特権昇格の脆弱性は、既に脆弱性の悪用が行われている。
なお、セキュリティ更新プログラムの公開時点では、この脆弱性の詳細の一般への公開は確認されていない。
→悪用実績あり、一般公開なし
・次の 4 つの脆弱性は、CVSS 基本値が 9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性。
セキュリティ更新プログラムが公開されるよりも前の脆弱性情報の一般への公開、脆弱性の悪用は確認されていない
└CVE-2023-23392 HTTP プロトコル スタックのリモートでコードが実行される脆弱性
└CVE-2023-21708 リモート プロシージャ コール ランタイムのリモートでコードが実行される脆弱性
└CVE-2023-23415 インターネット制御メッセージ プロトコル (ICMP) のリモートでコードが実行される脆弱性
└CVE-2023-23397 Microsoft Outlook の特権昇格の脆弱性
→悪用実績なし、一般公開なし
・2023 年 2 月 14 日 (米国時間) に公開した Microsoft Exchange Server の更新プログラムを適用した、ごく一部の環境にて Exchange Web サービスに問題が発生することを確認。
この問題に対処するために、2023 年 3 月 14 日 (米国時間) に、更新プログラムを再リリース。
2 月の更新プログラムを適用後に問題が発生している場合は3 月の Exchange Server の更新プログラムをインストールすることを推奨。
・DCOM サーバーのセキュリティ強化が第 3 フェーズになる。
第 3 フェーズでは、強化機能が既定で有効になり、無効にする機能はなくなる。
DCOM サーバーの管理者は、更新プログラムを適用するまでに、環境内の機能強化の変更とアプリケーションに関する互換性の問題を解決する必要あり。
CVE-2021-26414 Windows DCOM サーバーのセキュリティ機能のバイパスの脆弱性
■脆弱性
脆弱性はWindows11、Windows10、Windows Server 2022、Windows Server 2019で共通。
| CVE# | タイトル | 深刻度 | 一般 公開 | 悪用 実績 | 悪用可能性指標 | ベーススコア | テンポラリスコア |
| CVE-2023-23392 ※Windows11、Windows Server 2022のみ | HTTP プロトコル スタックのリモートでコードが実行される脆弱性 | 緊急 | なし | なし | 悪用される可能性が高い | 9.8 | 8.5 |
| CVE-2023-23410 | Windows HTTP.sys の特権の昇格の脆弱性 | 重要 | なし | なし | 悪用される可能性が高い | 7.8 | 6.8 |
| CVE-2023-23415 | インターネット制御メッセージ プロトコル (ICMP) のリモートでコードが実行される脆弱性 | 緊急 | なし | なし | 悪用される可能性が高い | 9.8 | 8.5 |
| CVE-2023-23416 | Windows Cryptographic Services のリモートでコードが実行される脆弱性 | 緊急 | なし | なし | 悪用される可能性が高い | 8.4 | 7.3 |
| CVE-2023-24861 | Windows Graphics コンポーネントの特権の昇格の脆弱性 | 重要 | なし | なし | 悪用される可能性が高い | 7.0 | 6.1 |
| CVE-2023-24880 | Windows SmartScreen のセキュリティ機能のバイパスの脆弱性 | 中程度 | あり | あり | 悪用の事実を確認済 | 5.4 | 5.0 |
■Windows11(22H2)、Windows11(21H2)
更新プログラム情報:KB5023706(22H2)、 KB5023698(21H2)
(OS ビルド 22621.1413、22000.1696)
・2023-03 Cumulative Update for Windows 11 Version 22H2 for x64-based Systems (KB5023706)
・2023-03 Cumulative Update for Windows 11 for x64-based Systems (KB5023698)
●概要 (Summary)
・分散コンポーネント オブジェクト モデル (DCOM) の強化のフェーズ 3 を実装する。
この更新プログラムをインストールした後は、レジストリ キーを無効にはできない。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
RequireIntegrityActivationAuthenticationLevel:0x00000001
・コンピューター アカウントと Active Directory に影響する問題に対処。
既存のコンピューター アカウントを再利用して Active Directory ドメインに参加すると、参加は失敗します。
これは、2022 年 10 月 11 日以降に Windows 更新プログラムがインストールされているデバイスで発生する。
エラー メッセージ:”Error 0xaac (2732): NERR_AccountReuseBlockedByPolicy: ‘同じ名前のアカウントが Active Directory に存在します。
●既知の問題
| 事象 | 回避策 |
| Windows 11 でプロビジョニング パッケージを使用すると、バージョン 22H2 (Windows 11 2022 Update とも呼ばれます) が期待どおりに機能しない。 Windows は部分的にしか構成されていない可能性があり、Out Of Box Experience が完了しないか、予期せず再起動する可能性がある。 初期セットアップ中に適用されるプロビジョニング パッケージは、この問題の影響を受ける可能性が最も高い。 | Windows 11、バージョン 22H2 にアップグレードする前に Windows デバイスをプロビジョニングできる場合、この問題は回避されます。 現在調査中であり、今後のリリースで更新プログラムを提供予定。 |
| Windows 11、バージョン 22H2 では、サイズの大きな複数ギガバイト (GB) ファイルのコピーが完了するまでに予想以上に時間がかかる場合がある。 この問題は、サーバー メッセージ ブロック (SMB) を介してネットワーク共有から Windows 11、バージョン 22H2 にファイルをコピーする場合に発生する可能性が高くなるが、ローカル ファイルのコピーも影響を受ける可能性があります。 | この問題を軽減するために、キャッシュマネージャー (バッファー処理された I/O) を使用しないファイル コピー ツールを実行する。 robocopy \\someserver\someshare c:\somefolder somefile.img /J xcopy \\someserver\someshare c:\somefolder /J 現在、解決に向けて取り組んでおります。今後のリリースで更新プログラムを提供予定 |
| 2023 年 2 月 14 日以降にリリースされた更新プログラムは、一部の Windows Server Update Services (WSUS) サーバーから Windows 11 バージョン 22H2 に提供されない可能性がある。 影響を受ける WSUS サーバーは、Windows Server 2016 または Windows Server 2019 からアップグレードされた Windows Server 2022 を実行しているサーバーのみです。 この問題は、以前のバージョンの Windows Server から Windows Server 2022 へのアップグレード中に、必要な Unified Update Platform (UUP) MIME タイプが誤って削除されたために発生する。 | この問題を軽減するには、「オンプレミスでの統合更新プラットフォームのファイルの種類の追加」を参照。 現在、解決に向けて取り組んでおります。今後のリリースで更新プログラムを提供予定。 |
| 一部のサードパーティ製 UI カスタマイズ アプリを持つ Windows デバイスが起動しない可能性がある。 これらのサードパーティ製アプリは、ループ内で複数回繰り返される可能性のある explorer.exe でエラーを引き起こす可能性がある。 影響を受ける既知のサードパーティ製 UI カスタマイズ アプリは、ExplorerPatcher と StartAllBack 。 これらの種類のアプリはサポートされていない方法を使用してカスタマイズをし、その結果、Windows デバイスで意図しない結果になる。 | 更新プログラムをインストールする前に、サードパーティ製 UI カスタマイズ アプリをアンインストールすることを推奨。 Windows デバイスで既にこの問題が発生している場合は、使用しているアプリの開発者のカスタマー サポートに問い合わせる。 StartAllBack を使用している場合は、最新バージョン (v3.5.6 以降) に更新することで、この問題を回避できる可能性あり。 根本解決については現在調査中。 |
■Windows10(Windows 10 v21H2、Windows 10 v21H1、Windows 10 v20H2)
更新プログラム情報:KB5023696
(OS ビルド 19042.2728、19044.2728、19045.2728)
・2023-03 Cumulative Update for Windows 10 Version 22H2 for x64-based Systems (KB5023696)
・2023-03 Cumulative Update for Windows 10 Version 21H2 for x64-based Systems (KB5023696)
・2023-03 Cumulative Update for Windows 10 Version 20H2 for x64-based Systems (KB5023696)
●概要(Summary)
・分散コンポーネント オブジェクト モデル (DCOM) の強化のフェーズ 3 を実装する。
この更新プログラムをインストールした後は、レジストリ キーを無効にはできない。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
RequireIntegrityActivationAuthenticationLevel:0x00000001
※20H2のみ
・コンピューター アカウントと Active Directory に影響する問題に対処。
既存のコンピューター アカウントを再利用して Active Directory ドメインに参加すると、参加は失敗します。
これは、2022 年 10 月 11 日以降に Windows 更新プログラムがインストールされているデバイスで発生する。
エラー メッセージ:”Error 0xaac (2732): NERR_AccountReuseBlockedByPolicy: ‘同じ名前のアカウントが Active Directory に存在します。
※20H2のみ
●既知の問題(Known issues)
※新規の既知の問題なし
| 事象 | 回避策 |
| カスタムされたオフラインメディアやWindows ISOイメージを用いてインストールしたWindowsデバイスは古いEdgeが削除されている可能性がある。 削除されたとしても新しいEdgeに自動的に置き換わらない。 | 本更新プログラムをインストールする前に2021 年 3 月 29 日以降にリリースされた SSU を使用してカスタム オフライン メディアまたは ISO イメージを作成する必要がある。 |
■Windows Server 2022
更新プログラム情報: KB5023705
(OS ビルド 20348.1607)
・2023-03 x64 ベース システム用 Microsoft server operating system, version 22H2 の累積更新プログラム (KB5023705)
・2023-03 Microsoft server operating system version 21H2 x64 ベース システム用の累積更新プログラム (KB5023705)
●概要(Summary)
・ハイパーリンクが Microsoft Excel で動作しなくなる問題に対処します。
・分散コンポーネント オブジェクト モデル (DCOM) の強化のフェーズ 3 を実装する。
この更新プログラムをインストールした後は、レジストリ キーを無効にはできない。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
RequireIntegrityActivationAuthenticationLevel:0x00000001
・ユーザーが FSlogix を使用する Azure Virtual Desktop (AVD) 環境からサインアウトしたときに、レジストリ エントリが削除されないレジストリサイズの問題に対処。
・2023 年の政府の夏時間変更命令をサポート。(メキシコ合衆国のみ)
・Get-WinEvent コマンドレットに影響する問題に対処。
・Azure Active Directory (Azure AD) 上で 一括プロビジョニングにプロビジョニング パッケージを使用すると失敗する問題に対処。
・ルーティングとリモート アクセス サービス (RRAS)が新しい受信仮想プライベート ネットワーク (VPN) 接続を受け入れられない問題に対処。
・サインアウトすると、POST セキュリティ アサーション マークアップ言語 (SAML) 要求 Cookie は削除されず、次回サインインするときに他のリソースを選択できなくなる問題に対処。
・ローカル セキュリティ機関サブシステム サービス (LSASS) がドメインに参加しているコンピューターで Sysprep を実行した場合にLSASS は応答を停止する問題に対処。
・コンピューター アカウントと Active Directory に影響する問題に対処。
・既存のコンピューター アカウントを再利用して Active Directory ドメインに参加すると、参加は失敗します。
・これは、2022 年 10 月 11 日以降に Windows 更新プログラムがインストールされているデバイスで発生する。
・エラー メッセージは”Error 0xaac (2732): NERR_AccountReuseBlockedByPolicy: ‘同じ名前のアカウントが Active Directory に存在します。
・En-US 以外のロケールを使用するマシンで、ストレージ レプリケーションのセットアップが失敗する問題に対処。
・クラスター名オブジェクト (CNO) の修復にフェールオーバー クラスタリングを使用して Azure 仮想マシン (VM) 上の CNO を修復できなくなる問題に対処。
●既知の問題(Known issues)
| 事象 | 回避策 |
| 一部の Windows Server Update Services (WSUS) サーバーから Windows 11 バージョン 22H2 に提供されない可能性がある。 更新プログラムは WSUS サーバーにダウンロードされますが、クライアント デバイスにはこれ以上反映されない可能性があります。 影響を受ける WSUS サーバーは、Windows Server 2016 または Windows Server 2019 からアップグレードされた Windows Server 2022 を実行しているサーバーのみです。 この問題は、以前のバージョンの Windows Server から Windows Server 2022 へのアップグレード中に、必要な Unified Update Platform (UUP) MIME タイプが誤って削除されたために発生する。 | この問題を軽減するには、「オンプレミスでの統合更新プラットフォームのファイルの種類の追加」を参照してください。 現在、解決に向けて取り組んでおります。今後のリリースで更新プログラムを提供いたします。 |
| 一部のバージョンのVMware ESXiで Windows Server 2022 を実行しているゲスト仮想マシン (VM) にこの更新プログラムをインストールすると、Windows Server 2022 が起動しない可能性がある。 この問題の影響を受けるのは、セキュア ブートが有効になっている Windows Server 2022 VM のみ。 影響を受けるVMware ESXiのバージョンは、vSphere ESXi 7.0.x 以前のバージョン。 | ・VMware のドキュメント を参照。 ・Microsoft と VMware は、この問題を調査中。 |
■Windows Server 2019
更新プログラム情報:KB5023702
(OS ビルド 17763.4131)
・2023-03 x64 ベース システム用 Windows Server 2019 の累積更新プログラム (KB5023702)
●概要(Summary)
・ハイパーリンクが Microsoft Excel で動作しなくなる問題に対処します。
・分散コンポーネント オブジェクト モデル (DCOM) の強化のフェーズ 3 を実装する。
この更新プログラムをインストールした後は、レジストリ キーを無効にはできない。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
RequireIntegrityActivationAuthenticationLevel:0x00000001
・ユーザーが FSlogix を使用する Azure Virtual Desktop (AVD) 環境からサインアウトしたときに、レジストリ エントリが削除されないレジストリサイズの問題に対処。
・2023 年の政府の夏時間変更命令をサポート。(メキシコ合衆国のみ)
・lsass.exeが 非常に大きな LDAP フィルターを持つドメイン コントローラーにライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリを送信すると、応答が停止する問題 に対処 。
・ローカル セキュリティ機関サブシステム サービス (LSASS) がドメインに参加しているコンピューターで Sysprep を実行した場合にLSASS は応答を停止する問題に対処。
・コンピューター アカウントと Active Directory に影響する問題に対処。
既存のコンピューター アカウントを再利用して Active Directory ドメインに参加すると、参加は失敗します。
これは、2022 年 10 月 11 日以降に Windows 更新プログラムがインストールされているデバイスで発生する。
エラー メッセージは”Error 0xaac (2732): NERR_AccountReuseBlockedByPolicy: ‘同じ名前のアカウントが Active Directory に存在します。
・ルーティングとリモート アクセス サービス (RRAS)が新しい受信仮想プライベート ネットワーク (VPN) 接続を受け入れられない問題に対処。
・Azure 仮想マシン (VM) でのフェールオーバー クラスタリングのクラスター名オブジェクトに影響する問題に対処
●既知の問題(Known issues)
※新規の既知の問題なし
| 事象 | 回避策 |
| KB5001342以降をインストールした後、クラスター ネットワーク ドライバーが見つからないため、クラスター サービスの起動に失敗する可能性があります。 | この問題は、このサービスで使用される PnP クラス ドライバーの更新が原因で発生します。 約 20 分後に、デバイスを再起動でき、この問題は発生しません。 この問題の特定のエラー、原因、回避策の詳細については、KB5003571 を参照してください。 |
■〆
