脅威に関する情報: マイクロソフトの脆弱性CVE-2020-1472「Zerologon」

By and

Category: Threat Brief, Unit 42

Tags: , ,

Illustration for threat briefs

This post is also available in: English (英語)

概要

2020年8月にMicrosoftがセキュリティ更新プログラムを公開しました。これはCVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability(CVE-2020-1472 | Netlogonにおける特権昇格脆弱性)への対応で、「Zerologon」とも呼ばれる新しい特権の昇格(EoP)脆弱性です。Common Vulnerability Scoring System(CVSS)スコアは10.0と最も高く、Microsoftからは「Critical (重大)」というセキュリティ評価を受けています。

本脆弱性はNetlogonプロトコルに存在します。Netlogonプロトコルの暗号処理、具体的にはAES-CFB8の実装に不具合があるために、本脆弱性のエクスプロイトが可能となっています。本脆弱性は、一続きのヌル文字列(\x00)をNetlogonプロトコルに送信することで引き起こされることから「Zerologon」という名前が付けられています。この不具合によりネットワーク上のNetlogonプロトコル利用者は誰でも自身の権限をドメイン管理者の権限に昇格できるようになります。この結果、攻撃者はドメイン全体にアクセスできるようになります。ここからさらなるエクスプロイト、データ漏出、ネットワークの破壊工作など、その目的が何であってもあらゆるチャンスが開かれます。

この脆弱性は、複数のMicrosoft Windows Serverオペレーティングシステムに影響を及ぼします。

Zerologonの緩和策

通常どおりなるべく早くシステムに更新プログラムを適用することをお勧めします。自社のネットワークで本脆弱性のテストをする場合はSecuraによるZeroLogonテストスクリプトを利用できます。Microsoftは本脆弱性に関し、「Netlogonセキュアチャネル接続の変更を管理する方法」というガイダンスを公開し、Netlogonチャネル保護のための回避策を提供しています。

結論

  • パロアルトネットワークスの脅威防御は、クラウド配信型のセキュリティサブスクリプションで本脆弱性のエクスプロイトに対する保護を提供します。
  • 次世代ファイアウォールはスプーフィングされた資格情報を持つ脆弱なWindows API(NetrServerAuthenticate3)を検出することにより本脆弱性のエクスプロイトを防止します。関連脅威IDは59336です。

パロアルトネットワークスは、新しい情報や推奨事項が利用可能になり次第、本稿を更新します。


Secure Today,
for a Better
Tomorrow
Join us at IGNITE’20