ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Active Directoryの脆弱性 Zerologonのパッチ適用後の動作確認ツール

Active Directory脆弱性 Zerologonの対策は完了していますでしょうか。あんまり普段から脆弱性を意識していないと放置している可能性もありますので、ご注意くださいという注意喚起もそうですが、今回は、動作確認できるツールを紹介します。

 

こちらに関しては、ヤフーニュースでも紹介されています。

Zerologon攻撃、未認証でDC管理者権限を取得されるリスク。CVSSスコア10の深刻な脆弱性(大元隆志) - 個人 - Yahoo!ニュース

 

オランダのセキュリティ会社であるSecuraが「Zerologon」と名付けた攻撃が話題を集めている。「Zerologon」は特定のNetlogon認証パラメーターに0(ゼロ)を追加することによって攻撃が成立する。Windows ADやドメインコントローラとネットワーク接続が可能な状況であれば、比較的簡単に実行出来るリスクがあり、CVSSスコアも10となっている。

■本脆弱性の要点
 さまざまなフィールドに0が入力されたNetlogonメッセージを多数送信するだけで、攻撃者はADに格納されているドメインコントローラのコンピュータパスワードを変更可能になる。これを使用してドメイン管理者資格情報を取得し、元のDCパスワードを復元できる。

 この攻撃の影響は非常に大きく、基本的にはローカルネットワーク(悪意のある内部関係者や、デバイスをオンプレミスのネットワークポートに接続しただけの人など)上のあらゆる攻撃者がWindowsドメインを完全に危険にさらすことになる。この攻撃はユーザの認証情報を必要としない。

 内部犯行者や、既にマルウェアが内部に潜入しており、C&Cサーバからマルウェアを遠隔操作利用な場合には、本脆弱性が利用されるリスクがあり、非常に緊急性/重要性の高いセキュリティパッチとなる。

 

ととても危険な脆弱性なので放置していて、攻撃されると大きな被害につながります。

 

ああああああ

 

おそらく大手企業はすでに対応していると思いますが、中小企業はご注意ください。

 

そして、テストツールがgithubにアップされています。

 

https://github.com/SecuraBV/CVE-2020-1472

 

ZeroLogonテストスクリプト
Impacketライブラリを使用してZerologonエクスプロイトの脆弱性をテストするPythonスクリプト(CVE-2020-1472)。

 

Netlogon認証バイパスを実行しようとします。スクリプトは、バイパスが正常に実行されるとすぐに終了し、Netlogon操作は実行されません。ドメインコントローラーにパッチが適用されると、2000ペアのRPC呼び出しを送信した後、検出スクリプトはあきらめ、ターゲットは脆弱ではないと結論付けます(0.04%の偽陰性の可能性があります)。

 

 

インストール
Python3.7以降とPipが必要です。次のように依存関係をインストールします。

 

> pip install -r requirements.txt


pip install impacketスクリプトが将来のImpacketバージョンによって壊れない限り、実行も同様に機能するはずであることに注意してください。

 

スクリプトの実行
スクリプトターゲットは、DCまたはバックアップDCをターゲットにするために使用できます。読み取り専用DCに対しても機能する可能性がありますが、これはテストされていません。EXAMPLE-DCIPアドレス1.2.3.4で名前が付けられたドメインコントローラーを指定して、次のようにスクリプトを実行します。

./zerologon_tester.py EXAMPLE-DC 1.2.3.4

 

DC名は、そのNetBIOSコンピューター名である必要があります。この名前が正しくない場合、スクリプトはSTATUS_INVALID_COMPUTER_NAMEエラーで失敗する可能性があり ます。