脆弱性に関する情報公開

Logstorage EventLogCollector、Logstorage ELC Analyticsに対するWindows DCOM脆弱性の影響について【2023年3月29日更新】

(更新) 2023年 03月 29日

(公開) 2022年 12月 15日

インフォサイエンス株式会社
プロダクト事業部

【2023年3月29日 更新】
第1版にてご案内したとおり、2023年3月15日に、マイクロソフト社からWindowsUpdate経由でセキュリティパッチが提供されました。
当該パッチの適用により、適用されたWindowsOSについては、強制的にWindows DCOMのセキュリティ対策が「有効」となります。
弊社では、上記パッチがマイクロソフト社から公開された後に、過去にご案内した以下の内容と同等の検証を実施し、当該パッチの適用有無によって、過去に弊社で検証を行った際と同様の動作、結果となることを確認いたしました。

 平素は弊社製品 Logstorage をご利用いただきまして、誠にありがとうございます。

    マイクロソフト社より2021年6月8日に Windows OS の各製品における DCOM の脆弱性(CVE-2021-26414)について発表(※1)がございました。

    また、本ページでは、今後2023年3月15日に掛けて数回にわたり、WindowsUpdate経由でセキュリティパッチが提供されるとともに、DCOMに関する挙動が一部変更される旨、公表されています。

    上記の発表に基づき、本脆弱性と弊社製品に関する状況を以下の通り報告いたします。

※1:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26414

1. 本脆弱性について

1.1. 弊社製品への影響について

2022年12月15日現在の調査状況についてご報告します。(※2)

【調査の結果、本脆弱性の影響を受けないことが判明した製品】

・Logstorage
・Logstorage Agent
・Logstorage Secure Batch Transfer
・Logstorage SBT for WindowsEvent
・Logstorage SBT for Oracle
・Logstorage Logsource Controller
・Logstorage Agent 集中管理ツール
・Logstorage AD ログオン・ログオフスクリプト
・Logstorage X/SIEM
・Logstorage 突合コマンドオプション
・すべての連携パック 

【本脆弱性の影響を受けることがある製品】

・Logstorage EventLogCollector
・Logstorage ELC Analytics

※2:バージョンの記載がない製品については、当該製品のリリース済の全バージョンについて影響がないことを確認しております。

1.2. 影響について

    Logstorage EventLogCollector(以下「ELC」)、及びLogstorage ELC Analyticsに同梱されるELCでは、Windowsイベントログの収集に当たり、以下のコレクタを提供しています。

・Windowsイベント(Win32API)コレクタ
・Windowsイベント(ログソースモジュール)コレクタ
・Windowsイベント(WMI)コレクタ
・Windowsイベント(wevtutil)コレクタ

    そのうち、Windowsイベント(Win32API)コレクタ、Windowsイベント(WMI)コレクタ、Windowsイベント(wevtutil)コレクタについては、OSのDCOM機能を用いて、ネットワークを経由して収集対象サーバからイベントログを収集しています。

    本件のパッチが適用され、挙動が変更される場合、ELCからログ収集対象への認証が失敗し、ログが収集できなくなるケースを確認しております。

    ELC実行機と収集対象の本対策の有効・無効のそれぞれの組み合わせに応じて、以下の挙動となることを確認しました。

ELC実行機
ログ収集対象機ログ収集処理
有効有効問題なく実行できる
有効無効問題なく実行できる
無効有効実行に失敗する
無効無効問題なく実行できる

    2022年12月現在でWindowsUpdateより提供されているパッチでは、本対策は既定値として「有効」となりますが、レジストリの変更により「無効」とすることが可能と案内されています。

    2023年3月15日に提供される予定のパッチでは、設定にかかわらず、パッチを適用したすべてのWindowsOSで強制的に「有効」となることが案内されています。

    ついては、Windowsイベント(Win32API)コレクタ、Windowsイベント(WMI)コレクタ、Windowsイベント(wevtutil)コレクタを用いてイベントログを収集している環境では、以下のいずれかの対応が必要となります。

・ログ収集対象機にパッチを適用する場合は、ELC実行機もパッチを適用する
・ELC実行機にパッチを適用しない場合は、ログ収集対象機のパッチを適用しない
・収集手段をWindowsイベント(ログソースモジュール)コレクタに変更する

なお、すでにサポートが終了しているWindows Server 2008、同 R2 などのOSはマイクロソフト社からはパッチが提供されません。

現時点でマイクロソフト社からのサポートが終了しているWindows Server OS にELCをインストールして稼働させているお客様に於かれましては、2023年3月15日にマイクロソフト社からのパッチの適用について、対応のご検討をお願いいたします。

2. 連絡先

お問い合わせにつきましては、弊社サポートセンターまでお問い合わせください。

サポートセンターについては、以下URLからご確認ください。

3. その他

本内容は2022年12月15日までに発表された内容に基づき公開しております。

脆弱性についての公開状況が変わった場合は、本内容も変更される場合がございます。

変更される場合は、本URLにて更新を行います。

以上

TOP