ドメインコントローラーを脅かす脆弱性「Zerologon」

Netlogonプロトコルの脆弱性CVE-2020-1472(別名:Zerologon)は、ドメインコントローラーの乗っ取りを許す恐れがあります。

Microsoftの8月の月例パッチで修正された脆弱性の中に、CVE-2020-1472があります。Netlogonプロトコルの脆弱性で、「緊急」の深刻度が割り当てられています(CVSSのスコアは10)。これが脅威をもたらすことは疑いのないところでしたが、先日、SecuraのリサーチャーであるTom Tervoort氏(この脆弱性の発見者)が、この脆弱性(別名:Zerologon)が危険である理由と、これを使用したドメインコントローラーの乗っ取り方法について、詳しく解説したレポートを公開しました(英語記事)。

Zerologonとは何か

「Zerologon」とも呼ばれるCVE-2020-1472は、暗号認証スキームであるNetlogon Remote Protocol(MS-NRPC)の不具合に起因します。このプロトコルはドメインネットワーク内でユーザーとマシンの認証を担当し、コンピューターのパスワードをリモートからアップデートする場合にも使用されます。この脆弱性を通じ、攻撃者はクライアントコンピューターになりすましてドメインコントローラー(ネットワーク全体を制御しActive Directoryを実行するサーバー)のパスワードを変更し、ドメイン管理者の権限を獲得することが可能です。

CVE-2020-1472の影響範囲

CVE-2020-1472は、Windowsドメインコントローラーを擁するネットワークを持つ企業にとってリスクとなります。乗っ取りを受ける危険があるのは、以下バージョンのWindows Serverで稼働するドメインコントローラーです。

Windows Server 2019(全バージョン)

Windows Server 2016(全バージョン)

Windows Server バージョン 1909(全エディション)

Windows Server バージョン 1903(全エディション)

Windows Server バージョン 1809(Datacenter Core、Standard Core)

Windows Server 2012 R2(全エディション)

Windows Server 2012(全エディション)

Windows Server 2008 R2 Service Pack 1(全エディション)

攻撃を実行するに当たり、攻撃者はまず企業ネットワークへ侵入しなければなりませんが、内部関係者による攻撃や、誰でも出入りできる場所にあるイーサネットソケットを通じたネットワーク侵入は、もはや珍しいとは言えません。

幸いなことに、Zerologonは現実の攻撃にはまだ使用されていません(少なくとも、攻撃に使われたとの報告はありません)。しかし、Tervoort氏のレポートが話題を呼んだことから、サイバー犯罪者の目を引く可能性は高く、概念実証(PoC)の詳細については公表されていないものの、攻撃者が更新プログラムを基にPoCを作成可能であるのは間違いありません。

Zerologonに対して取るべき対策

この脆弱性への対策は、2段階で実施されます。今年8月、Microsoftは第1段階として、影響を受ける全システムについて脆弱性を修正するセキュリティ更新プログラムをリリースしました。まだ適用済みでない場合は、速やかな適用をお勧めします。このほか、Netlogonプロトコルの脆弱なバージョンを通じたログインの試みをモニタリングすること、安全な新バージョンに対応していないデバイスを特定することが推奨されています。Microsoftは、最終的には全デバイスが安全なバージョンのNetlogonを使用するようにドメインコントローラーを設定するとしています。

8月段階では、安全なバージョンの使用は強制されません。NetlogonプロトコルはWindows以外のOSが稼働するデバイスでも利用されており、この使用を必須とすると、安全なバージョンに対応していない非Windowsデバイスが正常に機能しなくなるためです。

2021年2月の第2段階以降は、ドメインコントローラーにはこのモードの適用(更新された安全なNetlogonの使用を全デバイスに強制)が必須となります。したがって管理者は、その前にサードパーティ製デバイスの適合の問題を解決しておかねばなりません(デバイスをアップデートする、またはこれらを非準拠デバイスとして例外追加する)。8月の更新プログラムの対応内容と2月の強制フェーズの詳細については、Microsoftの記事をご確認ください。

ヒント