こんにちは、Azure & Identity サポート チームの金森です。
2024 年 1 月 10 日に、メッセージ センターにて [MC705680] として以下の情報公開が行われています。
Note
2024 年 3 月 3 日に When will this happen: の説明が更新されました。当初は 2 月 15 日にクラウド側の変更が行われる予定でしたが、ご利用者様のクライアントへの修正適用の準備期間を踏まえて、変更予定を延長していました。3 月 3 日の週からクラウド側の展開を開始し、4 月末までにはすべてのお客様のテナントに展開が完了する予定です。
Action required: Security hardening of Windows Hello authentication with July 2023 Windows updates
[Updated March 3, 2024]: Starting this week, the change described in this article will begin a gradual roll out. It will reach all customers by end of April.Windows updates released on July 11, 2023 introduced a phased approach to address a vulnerability in the Microsoft Entra ID Windows Hello authentication stack CVE-2023-36871 that could enable an attacker to create long lived authentication artifact from a low privileged process on Entra ID joined machines. This would enable the attacker to move the artifact indefinitely onto other Entra ID joined machines.
To address this vulnerability, Microsoft has introduced protections starting with the July 11, 2023 security updates. We strongly recommend that you update your organization’s devices immediately with Windows updates release in July 2023 or later.
Microsoft plans to fully address this CVE by not accepting Windows Hello authentication requests from machines running Windows security updates released in June 2023 or before. This security hardening will start February 15th, 2024 and will affect authentication/Single Sign On (SSO) on Windows devices that have not been updated with updates released in July 2023 or later.[When will this happen:]
This security hardening will start on February 15th, 2024.
Server-side changes for this security hardening are beginning to roll out starting with the week of March 3, 2024. The new measure is expected to affect 10% of customers by the end of the first week of March, and should reach all customers by the end of April.This security hardening was originally scheduled to start on February, 2024, but was postponed to allow more time for organizations to install the necessary updates for this change.
[How this will affect your organization:]
This security hardening will impact Windows Hello authentication/Single Sign On (SSO).[What you need to do to prepare:]
We strongly recommend that you update immediately your organization’s devices with Windows security updates release in July 2023 or later. Your organization will be at risk of business disruption, and IT administrators are encouraged to take action and install the necessary updates as soon as possible.[Additional information:]
If you have Active Directory Federation Services (ADFS) in your environment, please see CVE-2023-36871 - Security Update Guide - Microsoft - Azure Active Directory Security Feature Bypass Vulnerability to protect your on premises/Enterprise authentication scenarios as well.
要約すると以下の主旨となります。
- Windows Hello for Business (WHfB) のセキュリティの脆弱性が確認されている
- この脆弱性に対して、2023 年 7 月の月例のセキュリティ修正にて、すでに Windows に対しては修正の提供済みであり、修正を適用することで脆弱性のリスクは解消される
- 上記の対処はクライアント視点でのアプローチであるものの、この脆弱性リスクに対して完全に対応できるよう、認証の要求先/トークンの発行を行う Microsoft Entra ID (ME-ID = Azure AD) 側でも対処を実施する
- 2024 年 3 月 3 日 (こちら 2 月 15 日から延長しています) から、”2023 年 7 月の月例修正を適用していない” クライアントからの、WHfB によるトークン発行要求を受け入れない対処を実施する
- AD FS を利用している環境では、AD FS サーバーに対しても修正の適用と設定の追加を行う必要がある
おそらく多くの方がすでに 2023 年 7 月の月例修正を適用済みの環境でご利用いただいているものと思いますが、この修正を適用済みの場合すでにリスクは解消されており、それ以上クライアントにて何らかの対処を行う必要はないのでご安心ください。メッセージ センターの通知文章より不安を感じられた方もいらっしゃるかもしれませんが、QA 形式で詳細をおまとめいたしますので、不安の解消の一助となりましたら幸いです。
Q. MC705680 の通知内容の動作変化が生じるのはいつからでしょうか。
A. 2024 年 3 月 3 日から展開が開始され 4 月末にかけてすべてのテナントで展開が行われます。
Q. 詳細な動作変更対象の前提情報を教えてください。
A. Microsoft Entra 参加 (旧名 Azure AD Join) もしくは Microsoft Entra ハイブリッド参加 (旧名 Hybrid Azure AD Join) 構成の Windows 10 / 11 クライアントにて、Windows Hello for Business (WHfB) を構成しており、Windows に WHfB の方法 (PIN や生体認証) でログオンしている環境が対象です。以下の環境は考慮の対象外となります。
- WHfB ではなく Windows Hello の構成
- WHfB は構成済みであるが、Windows へのログオンを PIN や生体認証ではなくパスワードで実行している
Q. どのような動作変化が生じるでしょうか。
A. 2023 年 7 月 11 日の月例修正が適用されていない場合、Windows ログオン時に WHfB の方法 (PIN や生態認証) でログオンすると [Windows ログオンに伴う PRT (Primary Refresh Token) の取得もしくは更新] が行えなくなります。
なお、Windows へのログオン自体が行えなくなる、ということは無く、ログオンとデスクトップの表示は変わらず行えます (PRT の取得 / 更新が行えなくなる、という影響のみとなります)。
この結果、デスクトップ上で PRT の利用が行えなくなり、PRT を用いた SSO (ブラウザやアプリ利用時に、ユーザー名/パスワードの入力を必要とせずサインインが完了する) が行えなくなり、合わせて以下のような状況が生じる可能性があります。
- SSO が行われなくなり、Microsoft Entra ID (ME-ID = Azure AD) のユーザー認証を対話的に求める認証画面が表示される
- (条件付きアクセスにてデバイス ベースのアクセス制御を行っている場合) ME-ID へのサインインがブロックされる
2023 年 7 月 11 日の月例修正が適用済みの Windows 10 / 11 クライアントでは、上記の動作が生じることなく、これまで通り PRT の取得 / 更新と利用が可能です。
Q. 具体的に適用しておくべき修正を教えてください。
A. 以下の技術情報の [セキュリティ更新プログラム] の項目にて公開しておりますので、ご参照ください。
Azure Active Directory のセキュリティ機能のバイパスの脆弱性
※ [よく寄せられる質問] の項目には “7 月 12 日以降にリリースされた Windows 更新プログラム” と記載がありますが、[セキュリティ更新プログラム] の項目にある対象修正は 7 月 11 日にリリースされており、こちらの修正が本問題を修正した KB となります。
なお、月例修正は累積型であるため、もし [2023 年 7 月の修正は適用していないが、2024 年 1 月の月例修正は適用済みである] 場合、すでに必要な更新は適用済みのクライアントとなり、改めて後から 2023 年 7 月の修正を適用する必要はありません。現在のクライアントの OS バージョン (ファイル名を指定して実行、より winver を実行した画面から確認可能) と、上記技術情報のセキュリティ更新プログラムの一覧を比較し、より新しい OS バージョンとなっている場合は追加で行うべき対処はありません。
Q. 2023 年 7 月の修正が適用されていない状態のまま、本動作変更を避ける方法はありますか。
A. いいえ、セキュリティの脆弱性に対するアップデートであり、セキュリティ修正を適用しない状態のまま (脆弱性のリスクを維持したまま) でこれまでの運用を継続する方法はございません。
なお、本脆弱性は Windows に WHfB でログオンするご利用シナリオが対象となり、Windows にパスワードでログオンするご利用シナリオは考慮の対象外となります。
Q. WHfB は利用していませんが、AD FS サーバーを運用上利用している場合はどうすれば良いのでしょうか。
A. 前述の脆弱性の技術情報の [よく寄せられる質問] の項目にて公開しておりますので、ご参照ください。
上記内容が皆様の参考となりますと幸いです。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。