A security risk exists in the Remote Authentication Dial-In User Service (RADIUS) protocol. MD5 collision problems affect User Datagram Protocol or UDP-based RADIUS traffic over the internet. Data packets are at risk of forgery or changes to them during transit. To learn more, see KB5040268.

As of July 9, 2024, Windows updates support the Message-Authenticator attribute in Access-Request packets. The new RADIUS standards mandate this change.

However, if you install the July 2024, or later, updates, Network Policy Server (NPS) connection failures can happen. This update does not cause these connection failures. This only occurs if your company’s firewall or RADIUS solution does not support this attribute. To learn more, see KB5043417.

We recommend that you enable the Message-Authenticator attribute in Access-Request packets. Doing this addresses this NPS issue and the security risk.

 

When will this happen: 

As of July 9, 2024, you now have more information to address this NPS issue and security risk in your environment.

 

How this will affect your organization: 

The security risk requires physical access to both the RADIUS network and the NPS. Also, it does not apply when RADIUS traffic goes over a VPN. By making one or more of the changes below, you can enhance the security of UDP-based RADIUS traffic. You can also avoid NPS connection failures.

What you need to do to prepare: 

To help protect your environment, we recommend that you enable the following:

You can find detailed guidance on applying these in KB5040268. See the Additional information section below.

Additional information: 

For more information about this security risk and NPS issue, see:

Remote Authentication Dial-In User Service (RADIUS) プロトコルには、セキュリティ上のリスクがあります。 MD5 コリジョンの問題は、インターネット上の ユーザー データグラム プロトコル または UDP ベースの RADIUS トラフィックに影響します。データパケットは、転送中に偽造または変更されるリスクがあります。詳細については、「 KB5040268」を参照してください。

2024 年 7 月 9 日の時点で、Windows 更新プログラムでは Access-Request パケットの Message-Authenticator 属性がサポートされています。新しい RADIUS 標準では、この変更が義務付けられています。

ただし、2024 年 7 月以降の更新プログラムをインストールすると、 ネットワーク ポリシー サーバー (NPS) 接続エラーが発生する可能性があります。この更新プログラムでは、これらの接続エラーは発生しません。これは、会社のファイアウォールまたは RADIUS ソリューションがこの属性をサポートしていない場合にのみ発生します。詳細については、「 KB5043417」を参照してください。

Access-Request パケットで Message-Authenticator 属性を有効にすることをお勧めします。これにより、このNPSの問題とセキュリティリスクが解消されます。

 

これはいつ行われますか: 

2024 年 7 月 9 日の時点で、この NPS の問題と環境内のセキュリティ リスクに対処するためのより多くの情報が得られました。

 

これが組織に与える影響: 

セキュリティ リスクには、RADIUS ネットワークと NPS の両方への物理的なアクセスが必要です。また、RADIUS トラフィックが VPN を経由する場合も適用されません。以下の 1 つ以上の変更を行うことで、UDP ベースの RADIUS トラフィックのセキュリティを強化できます。また、NPS 接続の失敗を回避することもできます。

準備するために必要なこと: 

環境を保護するために、以下を有効にすることをお勧めします。

これらを適用するための詳細なガイダンスについては、 KB5040268を参照してください。以下の「追加情報」セクションを参照してください。

追加情報: 

このセキュリティ リスクと NPS の問題の詳細については、以下を参照してください。