メイン コンテンツに進む
ログアウト

Dellへようこそ

マイアカウント
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。
ログイン アカウントの新規作成 プレミアログイン パートナー プログラム サインイン
お問い合わせ

Dell.comカート

文書番号: 000207527

PowerScale:Netlogon RPCの特権昇格の脆弱性(CVE-2022-38023)

概要: CVE-2022-38023は、PowerScaleクライアントに機能的な影響を与えません。NetlogonにAES暗号化を使用するには、OneFSを9.5以降にアップグレードする必要があります。

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容

現象

PowerScale OneFSは、Active Directoryと通信するための安全なチャネルとしてNetlogonを使用します。この記事では、CVE-2022-38023がPowerScale OneFSに与える影響について説明します。

CVE-2022-38023、Netlogon RPCの特権昇格の脆弱性に関するMicrosoftのセキュリティ脆弱性の発表は次のとおりです。 このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

Microsoftは2022年11月8日にアップデートをリリースし、以下のシステムレジストリキーを導入しました。  

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal

これには 3 つの値があります。

0 – Disabled
1 – Compatibility mode. Windows domain controllers will require that Netlogon clients use RPC Seal if they are running Windows, or if they are acting as either domain controllers or Trust accounts.
2 - Enforcement mode. All clients are required to use RPC Seal, unless they are added to the "Domain Controller: Allow vulnerable Netlogon secure channel connections” group policy object (GPO).

PowerScale OneFSは、デフォルトでNetlogonのセキュア チャネル接続に署名して封印します。CVE-2022-38023のためにNetlogonの封印を要求しても、PowerScale OneFSには影響 しません

ドメイン コントローラーのWindowsイベント ビューアーに、次のイベントが記録されている場合があります。

イベントID 5840 
イベントテキスト  Netlogon サービスは、RC4 を使用してクライアントとのセキュリティで保護されたチャネルを作成しました。 
 

新しいイベントID 5840 は、 NTLM Netlogonセキュア チャネルにデフォルトでRC4を使用するOneFSリリース9.4.x以前を実行しているPowerScaleクライアントで作成されます。

リリース9.5.0以降を実行しているPowerScale OneFSクライアントでは、新しいイベントID 5840は作成 されません 。PowerScale OneFS 9.5.0は、NTLM NetlogonにAES暗号化を使用します。

原因

Microsoft は、Netlogon 通信の封印を要求するための段階的なアプローチを導入しました。

解決方法

CVE-2022-38023に対処するためのMicrosoftによるWindowsに対するこれらのアップデートは、7.x以降のサポート対象リリースを実行しているPowerScale OneFSクライアントには機能的な影響を与え ません

OneFSでNTLM Netlogon Secure ChannelのAES暗号化を利用するには、PowerScale OneFSリリース9.5.0以降にアップグレードします。

NTLM Netlogon Secure ChannelのAES暗号化のサポートは、PowerScale OneFSリリース9.4.x以前にはバックポートされていません。

関連リソース
このトピックに関連し、関心がある可能性のある推奨リソースを次に示します。

その他の情報

次のレジストリ値は既定では適用されず、意図的に有効にしない限り、認証エラーは発生しません。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Netlogon\Parameters\RejectMd5Clients

値を意図的にTRUE(1)に設定すると、OneFSリリース9.4.x以前でNTLM認証が失敗します。

次のPowerShellコマンドを実行して、設定を確認します。

Get-ItemPropertyValue -Path HKLM:\SOFTWARE\Policies\Microsoft\Netlogon\Parameters -Name RejectMd5Clients

有効になっている場合の出力例:

上記のコマンドが有効であることの出力

OneFS 9.4以前では、 RejectMd5Clients 値が有効な場合、失敗したNTLM認証について/var/log/lsassd.logに同様のエラーが表示されます。

2023-05-03T10:55:18.847247-06:00 <30.4> vd9400-1(id1) lsass[24440]: [lsass] Failed to get Ntlm Target Info Type for 'TRUSTED.INT' Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2023-05-03T10:55:18.855332-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] AD_NetrlogonOpenSchannel(WIN-871N98FR.trusted.int) failed with 3221226376 (0xc0000388) (symbol: 'STATUS_DOWNGRADE_DETECTED')
2023-05-03T10:55:18.855438-06:00 <30.3> vd9400-1(id1) lsass[24440]: [lsass] Failed to authenticate user (name = 'administrator') -> error = 40134, symbol = LW_ERROR_RPC_ERROR, client pid = 4294967295

文書のプロパティ

最後に公開された日付

01 5月 2024

バージョン

7

文書の種類

Solution

トップに戻る