2015年8月7日、US-CERT は「Required Group Policy Preference Actions for Microsoft Security Bulletin MS14-025」を公開しました。MS14-025 の更新 プログラムでは、グループポリシーにパスワードを保存しないよう修正が行わ れましたが、適用前にすでに保存されていたパスワードは削除されません。そ のため、MS14-025 では、「追加の措置が必要」として、その詳細を説明して います。すでに保存されていたパスワードを放置していると、システムへの不 正なアクセスを招くことになります。 US-CERT は、グループポリシーに保存されたままのパスワードを狙った攻撃が 今も続いているとして注意を呼びかけています。該当する製品をお使いの管理 者は、MS14-025 の対策が適切に行われているかどうか確認することをおすす めします。
参考文書(日本語)
-
マイクロソフト セキュリティ情報 MS14-025 - 重要
グループ ポリシー基本設定の脆弱性により、特権が昇格される (2962486)
https://technet.microsoft.com/ja-jp/library/security/ms14-025.aspx
-
マイクロソフト サポート
[MS14-025] グループ ポリシー基本設定の脆弱性により、特権が昇格される (2014 年 5 月 13 日)
https://support.microsoft.com/ja-jp/kb/2962486
参考文書(英語)
-
US-CERT Current Activity
Required Group Policy Preference Actions for Microsoft Security Bulletin MS14-025
https://www.us-cert.gov/ncas/current-activity/2015/08/07/Required-Group-Policy-Preference-Actions-Microsoft-Security
-
Microsoft TechNet Blogs - Ash de Zylva’s Weblog
(Don’t) Set or Save Passwords Using Group Policy Preferences
http://blogs.technet.com/b/ash/archive/2014/11/10/don-t-set-or-save-passwords-using-group-policy-preferences.aspx
Weekly Report 2015-08-12号 に掲載