Microsoftは2024年4月9日にWindows Server向けのセキュリティ更新プログラムをリリースしたが、この更新プログラムの適用後にNTLM(New Technology LAN Manager)認証トラフィックが大幅に増加する問題が発生しているという。Windows Server 2022のサポートページの「既知の問題」セクションによると、この問題の影響でまれにローカル セキュリティ機関サブシステム サービス(LSASS)がクラッシュし、Windows Serverが再起動する可能性があるとのことだ。
-
2024 年 4 月のセキュリティ更新プログラムをインストールした後の NTLM トラフィックの問題
問題の影響を受けるバージョン
この問題の影響を受けるのは、2024年4月のセキュリティ更新プログラムを適用したWindows Serverで、具体的には次のバージョンが該当する。
- Windows Server 2022 (KB5036909)
- Windows Server 2019 (KB5036896)
- Windows Server 2016 (KB5036899)
- Windows Server 2012 R2 (KB5036960)
- Windows Server 2012 (KB5036969)
- Windows Server 2008 R2 (KB5036967)
- Windows Server 2008 (KB5036932)
NTLM認証は、以前のWindows Serverで標準的に使われていたパスワードハッシュを用いた認証方式。この認証方式にはセキュリティ上の問題が指摘されており、Microsoftは2023年10月に、将来的にWindowsでNTLM認証を廃止する方針を発表している。
Microsoftによると、今回発生した認証トラフィックが増大する問題は、環境内のプライマリ ドメイン コントローラー(PDC)の割合が非常に少なく、NTLMトラフィックが多い環境で特に影響を受けやすいとのこと。
その結果、まれにだが、ドメイン コントローラー(DC)ロールを実行しているWindows ServerでLSASSがクラッシュし、再起動が発生することがあるという。LSASSと、セキュリティポリシーやユーザーログイン、アクセストークンの作成、パスワードの変更などを処理するWindowsサービスである。
Microsoftは現在この問題の解決に取り組んでおり、今後のリリースで更新プログラムを提供する予定となっている。なお、暫定的な回避策は提示されていない。
