脆弱性 CVE-2020-1472 Zerologonについて普段からセキュリティ関連の情報を集めているセキュリティネクストにて分かりやすく情報が書かれていました。こちら、インフラエンジニアの方は、間違いなく耳に入っている情報だと思いますし、早めに対応をしておく必要があります。
攻撃にはローカルネットワークに接続する必要がありますが、社内に攻撃が及べばドメイン管理者をはく奪される可能性がある為、ほんとうに危険です。
まず情報元はこちらです。
【セキュリティ ニュース】脆弱性「Zerologon」でドメイン管理者権限奪取のおそれ - 詳細明らかに(1ページ目 / 全2ページ):Security NEXT
8月にマイクロソフトの月例セキュリティ更新で修正された「Windows Server」の脆弱性「CVE-2020-1472」について詳細が明らかとなった。脆弱性を発見したSecuraでは、脆弱性を「Zerologon」と名付け、注意を呼びかけているというものです。
「CVE-2020-1472」は、ドメイン管理者権限を取得可能となる脆弱性。同脆弱性を発見し、マイクロソフトへ報告したSecuraでは、同脆弱性を「Zerologon」と名付けている。
同脆弱性については、エクスプロイトコードが公開され、悪用のリスクが高まっているとして米国土安全保障省のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)も注意喚起を行っている。
Securaによれば、「Zerologon」は「Netlogon Remoteプロトコル(MS-NRPC)」において使用される暗号化認証スキームの欠陥に起因するという。
悪用にはドメインコントローラーへ接続する必要があり、ローカルネットワークへのアクセス権限が必要となるが、条件をクリアすれば悪用は容易で、攻撃者は認証トークンを偽造してドメインコントローラー自体を含む任意のコンピューターになりすまし、リモートプロシージャコールを実行することが可能だとしている。
こちらが危険性が高いのは、容易に悪用されるということです。その為、なるべく早くパッチを適用したほうがいいのは間違いありません。ドメインコントローラーにおいて、パスワードを設定できる関数を呼び出すことも可能で、あらたにパスワードを設定してドメインコントローラーの制御を奪い、ドメイン管理者の資格情報を得ることができるそうです。
色んなサイトでこちらの情報が書かれていますが、カスペルスキーのサイトの説明が分かりやすいです。
https://blog.kaspersky.co.jp/cve-2020-1472-domain-controller-vulnerability/29235/
Zerologonとは何か
「Zerologon」とも呼ばれるCVE-2020-1472は、暗号認証スキームであるNetlogon Remote Protocol(MS-NRPC)の不具合に起因します。このプロトコルはドメインネットワーク内でユーザーとマシンの認証を担当し、コンピューターのパスワードをリモートからアップデートする場合にも使用されます。
CVE-2020-1472の影響範囲
CVE-2020-1472は、Windowsドメインコントローラーを擁するネットワークを持つ企業にとってリスクとなります。乗っ取りを受ける危険があるのは、以下バージョンのWindows Serverで稼働するドメインコントローラーです。
Windows Server 2019(全バージョン)
Windows Server 2016(全バージョン)
Windows Server バージョン 1909(全エディション)
Windows Server バージョン 1903(全エディション)
Windows Server バージョン 1809(Datacenter Core、Standard Core)
Windows Server 2012 R2(全エディション)
Windows Server 2012(全エディション)
Windows Server 2008 R2 Service Pack 1(全エディション)
本脆弱性は Windows 以外の製品においても実装されている Netlogon プロトコルに関する修正であることから、Windows 以外の製品の Netlogon 実装への互換性を考慮し、マイクロソフトは本脆弱性への対処を 2 段階に分けて実施する予定になっています。
その為、まずは影響を確認してから強制化のパッチを適用するか、一段階目で影響が分かれば初回で強制化するのも一つです。
 |
