2020年9月15日 (日本時間)、JPCERT/CCは、Netlogon の特権の昇格の脆弱性 (CVE-2020-1472) を実証するコード (PoC) の存在を確認しています。本脆弱性は、Active Directory で利用されている Netlogon プロトコルの実装における特権の昇格の脆弱性です。2020年8月11日 (米国時間) に、マイクロソフトより本脆弱性を修正する更新プログラムに関する情報が公開されています。
マイクロソフト株式会社
CVE-2020-1472 | Netlogon の特権の昇格の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1472
本脆弱性が悪用されると、認証されていない第三者が、Netlogon リモートプロトコル (MS-NRPC) を使用してドメインコントローラーに対して脆弱な Netlogon セキュアチャネル接続を確立した場合、ドメイン管理者のアクセス権を取得する可能性があります。脆弱性を悪用するために第三者はドメインコントローラーに接続する必要がありますが、第三者が既に標的の組織のネットワークに侵入している場合は、本脆弱性を悪用してドメインコントローラーを掌握し、更に侵害範囲を拡大して攻撃を行う可能性が考えられます。
なお、本脆弱性は Windows 以外の製品においても実装されている Netlogon プロトコルに関する修正であることから、Windows 以外の製品の Netlogon 実装への互換性を考慮し、マイクロソフトは本脆弱性への対処を 2 段階に分けて実施する予定とのことです。
本脆弱性の影響を受ける製品を利用している場合、2020年8月に提供されている更新プログラムの適用に加えて、ドメインコントローラーに接続する Windows 以外の製品の互換性の確認や設定変更などの対応が必要になる場合があります。マイクロソフトが提供する情報を参考に、更新プログラムの適用や自組織で必要となる対応に関する詳細をご確認の上、速やかに対応を実施することをご検討ください。
Microsoft Security Response Center
[AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要
https://msrc-blog.microsoft.com/2020/09/14/20200915_netlogon/
** 更新: 2020年9月25日 *******************************************
マイクロソフト (Microsoft Security Intelligence) より、本脆弱性を悪用した攻撃を確認したというツイートが公開されています。また、mimikatz や Cobalt Strike などの攻撃者に悪用され得るツールに、本脆弱性を利用する機能が既に実装されているため、今後、この脆弱性を悪用したさまざまな攻撃が行われる可能性があります。
本脆弱性が悪用され、攻撃者がドメイン管理者権限を取得してしまうと、攻撃による侵害の封じ込めや根絶を徹底することが非常に困難になります。本脆弱性は容易に悪用できる上に、悪用された場合の影響が非常に大きいことから、最優先で対策を実施いただくことを推奨します。
Microsoft Security Intelligence@MsftSecIntel
https://twitter.com/MsftSecIntel/status/1308941504707063808
本脆弱性への対策を未実施の場合、マイクロソフトが提供する情報を参照し、早急に必要な対応を実施することをご検討ください。なお、本脆弱性を修正する 2020年8月の更新プログラムは、フォレスト内すべてのドメインコントローラ (読み取り専用ドメインコントローラ: RODC 含む) に適用する必要があります。
また、Samba からも、本脆弱性に関する情報が公開されています。バージョンや設定次第では、本脆弱性を影響を受けるため、確認や対策の実施が呼びかけられています。併せてご確認ください。
The Samba Team
Unauthenticated domain takeover via netlogon (“ZeroLogon”)
https://www.samba.org/samba/security/CVE-2020-1472.html
** 更新終了 ******************************************************
改訂履歴
2020-09-16 初版
2020-09-25 追記(悪用の確認など)
CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp