Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

CVE-2020-1472: Netlogon における「Zerologon」脆弱性により、攻撃者が Windows ドメインコントローラをハイジャックする可能性がある

Netlogon 内の暗号認証スキームが Windows のドメインコントローラー (DC) を乗っ取るように悪用されることが可能であるとセキュリティ調査機関が発表

2020/9/21 更新 : 「影響を受けたシステムの特定」の項目に Zerologon の未認証確認の方法を追加。

Update: October 02, 2020: The ‘Identifying Affected Systems’ section has been updated to highlight the release of the Zerologon scan template for Nessus and Tenable.io.

背景

9月11日に、Secura のリサーチャーが、重大な脆弱性をブログで発表。名付けて「Zerologon」。 ブログにはその脆弱性の影響と実行について詳細にわたる内容を説明したホワイトペーパーが掲載され、識別番号 CVE-2020-1472 が割り当てられ、CVSSv3 で最大のスコア 10.0 が付与されました。その後、Microsoft のAugust Patch Tuesday でリリースされたパッチによって対処されました。これは、昨年暮れに Secura が 発表した Netlogon 関連の前の脆弱性 CVE-2019-1424 に続くものです。

分析

CVE-2020-1472 は、Netlogon セッションにおける AES-CFB8 暗号処理の安全でない使い方に付け込んだ、特権のエスカレーションを実行する脆弱性です。AES-CFB8 規格では、パスワードなどが推測されないように、プレーンテキストの各バイトの初期化ベクトル (IV) がランダム化されていることが要求されています。Netlogon では ComputeNetlogonCredential 関数が IV を 16 ビットに固定するので、攻撃者は復号されたテキストをコントロールすることが可能です。この欠陥を悪用して DC 認証を試行する攻撃者は、ネットワーク上のどのマシンからでもなりすまして実行することが可能です。その後、さらなる攻撃が可能になり、Windows ドメイン全体の乗っ取りも可能性の範囲に入ります。Secura のホワイトペーパーでは、攻撃者が単に Impacket の「secretsdump」スクリプトを実行して、対象の DC のユーザーハッシュのリストを抽出することも可能と指摘しています。

この脆弱性は、ターゲットと同じ LAN にあるマシンからしか攻撃をしかけることができません。つまり、脆弱なクライエントまたは DC がインターネット上にあるだけでは悪用の対象になりません。偽りのログイン試行が、通常のドメインログインのように実行されることが攻撃の前提です。Active Directory (AD) がクライアントとの接続がその論理的な境界内であること (外部アドレスでないこと) を認識しなければなりません。

CVE-2020-1472: Netlogon における「Zerologon」脆弱性により、攻撃者が Windows ドメインコントローラをハイジャックする可能性がある

画像出典: Secura CVE-2020-1472 ホワイトペーパー

概念実証

この件に関しては、GitHub [1] [2] [3] [4] に複数のPoCが公開されるなど、セキュリティ業界で幅広い関心を集め、多くの実験が実施されています。いち早くエクスプロイトの実証を取得しようと作業が急がれています。重大で大きく報道される脆弱性には、多くのセキュリティ調査者と攻撃者から関心が寄せられます。

仮定のシナリオでは、この脆弱性はある組織全体にランサムウェアを配備するために利用され、その後のクリーンアップや復旧作業が追加の悪意のあるスクリプトなどを見過ごせば、環境内に長期的に存在することが想定できます。ネットワークからアクセスが可能なバックアップのある環境などは、ランサムウェアのグループがバックアップを破壊して、身代金獲得の確立を上げるなどという、大被害も予想外ではありません。

解決策

Microsoft のアドバイザリが提供した August Patch Tuesday のアップデートを適用すれば、Netlogon プロトコル内の、すべての Windows デバイスのためのリモートプロシージャコール (RPC) が強制され、この脆弱性は修正されます。 Tenable は、ユーザーと管理者の皆様にこのパッチを早急に適用されることをお勧めします。

また、ご留意いただきたいのは、Microsoft はこのアドバイザリを 2021/2/9 に改訂する予定で、一旦強制フェーズが開始されると、強制モードが Windows 以外のすべてのデバイスで必須になることです。レガシーデバイスについては、グループポリシーを利用して特定のデバイスに対応することが、管理者の手動介入で可能です。

影響を受けたシステムの特定

この脆弱性を識別するための Tenable プラグインのリストは、こちらからご覧いただけます。Tenable は、2021/2/9 の更新の後にさらにプラグインをリリースする予定です。こちらにあるコンプライアンス監査ファイルを使って、FullSecureChannelProtection のレジストリキーの値が DC のグループポリシーに確実に設定されたことを確認することができます。パッチが正しく適用されていれば、2020 年 8 月の修正がこのレジストリキーを設定するはずです。

Tenable は、また、Microsoft Netlogon Elevation of Privilege をリリースしています。これは、未認証のプラグインで、DC が悪用可能かどうかを精査するのにご利用いただけます。このプラグインは、すべてのクライアントに対してゼロチャレンジを提供した後、すべてゼロのクライアント認証情報を使って、ターゲット認証を試行するものです。脆弱なターゲットの場合、およそ 256 回の試行に対して1 回成功します。このプラグインは、2 千回まで試行を繰り返し、ターゲットが影響を受けているかどうか検証します。従って、ターゲットの悪用の可能性を検証するには、非常に多数のログイン試行を行う必要があるので、他のプラグインと並行して実行しないようにしてください。このプラグインは、単独のターゲットを対象としたドメインコントローラー用のスキャンです。 プラグインを有効にするには、スキャン構成のアセスメントオプションのブルートフォースセクションにある「ユーザー提供の認証情報のみ使用」の設定を無効にする必要があります。

Tenable.io and Nessus users will also be able to take advantage of the new scan template dedicated to targeting Zerologon. Plugin 140657 and its dependencies are automatically enabled within the template, and it also comes with the necessary brute force settings automatically configured.

詳細情報を入手する

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加しませんか。

最新のアタックサーフェスを総合的に管理する Tenable、初の Cyber Exposure Platform の詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しください。

Tenable のブログにご登録ください。最新の投稿にアクセスできます。

登録する
無料でお試し 今すぐ購入

Tenable.ioを試す

30 日間無料

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.ioを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入
無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

Nessus Professionalを購入する

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

複数年ライセンスをご購入いただくと割引が適用されます。 拡張サポートでは 24 時間x365 日、電話、コミュニティ、チャットサポートのアクセスが追加されます。 詳細はこちらから

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

3,578ドル

今すぐ購入

無料でお試しになれます。 セールスにご連絡ください。

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable.scのデモを入手する

以下のフォームに連絡先をご記入ください。営業担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます(255文字まで)。アスタリスク(*)マークの付いた欄は必須です。

無料でお試しになれます。 セールスにご連絡ください。

Tenable Luminを試す

30 日間無料

Tenable Luminを使用して、Cyber Exposureを可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Luminを購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上でLuminがいかに役立つかについて、Tenableの営業担当者までお問い合わせください。

Tenable.ot のデモを予約する

組織の OT セキュリティニーズのために。
不要なリスクを削減します。