MS-NRPCの脆弱性「Zerologon」の悪用確認がされたそうで、ドメインコントローラへのパッチ適用は急務となりそうです。今回の脆弱性は内部に入られると容易に管理者権限を乗っ取られてしまうので、本当に危険です。こういった悪意のあるプログラムは、気づかない間に入っている可能性がありますし、ドメインコントローラの管理をしている担当者は急いで適用したほうがよさそうです。
まず、悪用確認されているという情報はこちらから確認しました。
【セキュリティ ニュース】脆弱性「Zerologon」の悪用確認 - 侵害封じ込めが困難に、影響多大のため早急に対策を(1ページ目 / 全2ページ):Security NEXT
「Netlogon Remoteプロトコル(MS-NRPC)」の実装において、別名「Zerologon」と呼ばれる脆弱性「CVE-2020-1472」が明らかとなった問題で、脆弱性の悪用が確認されたそうで、米政府やマイクロソフトでは悪用を確認しており、セキュリティ機関なども警戒を強めているとのことです。
同脆弱性は、「MS-NRPC」の実装に起因する脆弱性。使用する暗号化認証スキームの欠陥により認証のバイパスが可能となる。マイクロソフトでは、8月の月例セキュリティ更新で脆弱性を修正。同プロトコルを実装する「Samba」への影響なども明らかとなっている。
マイクロソフトは、同脆弱性が攻撃へ活用されていることを確認しており、同脆弱性のエクスプロイトを利用する攻撃者を追跡していると報告。あらためてアップデートの実施を強く求めた。
米国土安全保障省のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)においても、これまでに悪用コードの公開を確認していたが、9月24日の時点で積極的に脆弱性を悪用する動きを認識しており、パッチが未適用のドメインコントローラを検出するためのスクリプトを公開し、ただちにすべてのドメインコントローラへパッチを適用するよう求めている。
JPCERTコーディネーションセンターは、攻撃者が使用するツール「mimikatz」や「Cobalt Strike」といったツールに脆弱性を利用する機能が実装されており、今後さまざまな攻撃で同脆弱性が利用されるおそれがあると分析しているそうですが、さらに恐怖なのが攻撃者によってドメイン管理者権限が取得されると、組織が侵害された場合、完全に封じ込めたり、根絶することが困難になるとのことです。
もはや待ったなしの状態ですね。こういったパッチ適用を普段からしている企業はいいですが、パッチ適用を意識していない場合はとても危険です。
ドメインコントローラの権限を奪われると業務影響が大きく、リカバリも簡単ではないので、この情報を見た方はすぐに対応したほうがいいです。
パッチについては段階を追ってとありますが、悪用を確認されている以上、すぐに強制化をしたほうがいい気がしますね。
危険性によっては、マイクロソフトも方針を変更する可能性があります。
パッチについては以下を確認してください。
[AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要 - Microsoft Security Response Center