Trusted DesignCVE-2020-1472 の詳細
CVEの情報
説明:
An elevation of privilege vulnerability exists when an attacker establishes a vulnerable Netlogon secure channel connection to a domain controller, using the Netlogon Remote Protocol (MS-NRPC). An attacker who successfully exploited the vulnerability could run a specially crafted application on a device on the network.
To exploit the vulnerability, an unauthenticated attacker would be required to use MS-NRPC to connect to a domain controller to obtain domain administrator access.
Microsoft is addressing the vulnerability in a phased two-part rollout. These updates address the vulnerability by modifying how Netlogon handles the usage of Netlogon secure channels.
For guidelines on how to manage the changes required for this vulnerability and more information on the phased rollout, see How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 (updated September 28, 2020).
When the second phase of Windows updates become available in Q1 2021, customers will be notified via a revision to this security vulnerability. If you wish to be notified when these updates are released, we recommend that you register for the security notifications mailer to be alerted of content changes to this advisory. See Microsoft Technical Security Notifications.
CVE更新日: 2020-08-17 19:15:15.117000
CVSSバージョン: 3.1
CVSSスコア: 5.5
KEVの情報
KEV更新日: 2021-11-03
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.943800000
EPSS更新日: 2026-04-16 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2020-1472は、「Zerologon」として知られる、Active DirectoryのNetlogonリモートプロトコル(MS-NRPC)における特権昇格の脆弱性です。
1. 脆弱性の概要
1.1 影響
認証されていない攻撃者がドメインコントローラーへのネットワークアクセスを持つ場合、脆弱なNetlogonセキュアチャネル接続を確立し、最終的にドメイン管理者権限を取得する可能性があります。これにより、攻撃者はドメイン全体を掌握し、データ漏洩、ネットワークの破壊、さらにはGolden Ticket、Pass-the-Hash、Silver Ticketといった攻撃を実行する機会を得ます。この攻撃は非常に高速で、わずか数秒で実行されることがあります。
1.2 深刻度
この脆弱性には、Common Vulnerability Scoring System (CVSS) v3.1の最大スコアである10.0(Critical/緊急)が割り当てられています。Securaの研究者によって発見され、Microsoftは2020年8月11日に修正パッチをリリースしました。
2. 対象となる環境
2.1 影響を受けるOSバージョン
この脆弱性は、以下のWindows Serverオペレーティングシステムに影響を与えます。 * Windows Server 2008 R2 (Service Pack 1) * Windows Server 2012 * Windows Server 2012 R2 * Windows Server 2016 * Windows Server 2019 * Windows Server, version 1903/1909/2004
また、Sambaをドメインコントローラーとして使用している場合、バージョン4.0以降も影響を受けます。
2.2 影響を受ける設定
この脆弱性は、Netlogonリモートプロトコル(MS-NRPC)の暗号化実装の不備に起因します。具体的には、AES-CFB8暗号の初期化ベクトル(IV)が、本来セッションごとにランダムな値を生成すべきであるにもかかわらず、常にゼロに固定されていたことが問題です。これにより、認証プロセスにおける暗号化部分のランダム性が失われ、任意のコンピューターアカウントでの認証バイパスやなりすましが可能になります。
3. 影響を受けた時の兆候
直接的な攻撃成功の兆候は、ドメイン管理者権限の奪取による広範な侵害活動ですが、Microsoftが提供する更新プログラム適用後の監視により、脆弱な接続を試みている非準拠デバイスを特定できます。パッチ適用済みのドメインコントローラーは、以下のイベントIDをシステムイベントログに記録します。 * イベントID 5829: 脆弱なNetlogonセキュアチャネル接続が許可された場合。 * イベントID 5827、5828: セキュアチャネル接続が拒否された場合。 * イベントID 5830、5831: 「ドメインコントローラー: 脆弱なNetlogonセキュアチャネル接続を許可する」グループポリシーが設定されている場合にログに記録される。
これらのイベントログを監視することで、環境内の非準拠デバイスを特定し、対処することが可能になります。
4. 推奨対策
4.1 本対策
最も重要な対策は、Microsoftが提供するセキュリティ更新プログラムを適用することです。この修正は2段階で展開されました。 1. フェーズ1 (初期展開フェーズ - 2020年8月11日~2021年2月9日): * ドメインコントローラーは、Netlogonセキュアチャネル接続で「安全なRPC (Secure RPC)」を既定で利用するようになりました。 * 互換性を考慮し、この段階では「安全なRPC」に対応していない非Windowsデバイスからの脆弱な接続も一時的に許可されました。 2. フェーズ2 (強制フェーズ - 2021年2月9日以降): * ドメインコントローラーは、すべてのNetlogonセキュアチャネル接続に対して「安全なRPC (Secure RPC)」を強制するようになりました。 * これにより、安全なRPCを利用できない非準拠デバイスからの接続は、明示的にグループポリシーで許可しない限り拒否されます。 * すべてのWindowsベースのドメインコントローラー(読み取り専用ドメインコントローラー: RODCを含む)に2020年8月以降の更新プログラムを適用する必要があります。 * Windows Server 2008 R2を使用している場合は、パッチ適用前にESU (Extended Security Updates) が必要となる場合があります。 * Sambaドメインコントローラー(バージョン4.0以降)を使用している場合は、
smb.confファイルでserver schannel = yesと設定されていることを確認してください。4.2 暫定回避策(緩和策)
直ちにパッチを適用できない場合の暫定的な緩和策としては、以下の点が挙げられます。 * イベントログの監視: ドメインコントローラーに更新プログラムを適用し、イベントID 5829のログを監視して脆弱な接続を行っているデバイスを特定し、対処します。 * グループポリシーの利用(一時的): 非準拠デバイスへの接続を一時的に許可する必要がある場合は、「ドメインコントローラー: 脆弱なNetlogonセキュアチャネル接続を許可する」グループポリシーを設定できます。ただし、これはあくまで短期的な対策であり、最終的には非準拠デバイスへの対処が必要です。 * ネットワークのセグメンテーション: ドメインコントローラーを公開ネットワークに直接接続しないようにし、可能な限り隔離された環境に配置することが推奨されます。 * IDS/IPSによる検出: 侵入検知システム(IDS)や侵入防御システム(IPS)を使用して、Zerologon攻撃のトラフィックを検出・ブロックすることも有効です。また、仮想パッチも緩和策として有効です。
参照したサイト