Windows の巨人である Microsoft のセキュリティ チームは、同社のネットログオン プロトコルにあるかなり懸念される設計上の欠陥が悪意のある人物によって実際に悪用されていると警告した。
大手企業は本日、CVE-2020-1472の脆弱性(別名ZeroLogon)を悪用した攻撃が活発化していることを確認した。この脆弱性を悪用すると、認証をバイパスし、企業ネットワークでドメインレベルの管理者アクセス権を取得できる可能性がある。
マイクロソフトは、CVE-2020-1472 Netlogon EoP脆弱性(Zerologon)を悪用した脅威アクターの活動を積極的に追跡しています。公開されているエクスプロイトが攻撃者のプレイブックに組み込まれている攻撃を確認しています。
— マイクロソフト セキュリティ インテリジェンス (@MsftSecIntel) 2020年9月24日
このプロトコルレベルの脆弱性は、Windows Server や、Samba などドメインコントローラーを提供するために MS-NRPC を実装するその他のソフトウェアに影響を与えます。この脆弱性の深刻度は、CVSS スコアで 10 点満点中 10 点と、非常に高い評価を受けています。
Windows Serverの恐ろしいZeroLogonの脆弱性をパッチしようと奮闘しているなら、Sambaも忘れないでください。Sambaも影響を受けています。
続きを読む
システム管理者は、この脆弱性とその緊急パッチ適用の必要性について警告を受けていなかったとは言えないでしょう。マイクロソフトは8月の月例パッチでCVE-2020-1472の修正プログラムをリリースしましたが、当時から専門家はこの脆弱性が重大なセキュリティリスクであり、対処を最優先すべきだと警告していました。
「重大な権限昇格のバグに遭遇することは稀だが、今回のものは重大なものだ」とトレンドマイクロ-ZDIのダスティン・チャイルズ氏は当時語った。
バイナリポーカーのユーザーがこの脆弱性を悪用する概念実証コードを投稿し始めたことで、事態は深刻化しました。これを受け、米国政府のコンピュータセキュリティ機関であるCISAは、緊急パッチ指令を発令するという異例の措置を取り、可能な限りZeroLogonの修正プログラムをインストールするよう強く求めました。
「この攻撃は甚大な影響を及ぼします」とCISAは述べています。「基本的に、ローカルネットワーク上のあらゆる攻撃者(悪意のある内部関係者や、オンプレミスのネットワークポートにデバイスを接続しただけの人物など)が、Windowsドメインを完全に侵害することが可能になります。」
前述の通り、8月の月例パッチバンドルをインストールすることで、少なくともWindowsマシン上のこの脆弱性は解消され、サーバーは攻撃から保護されます。管理者は、疑わしいアクティビティやセキュリティ侵害の兆候がないか、マシンをスキャンすることをお勧めします。現時点では、特にインターネットからアクセスできるマシンは既に悪用されている可能性があります。
一方、マイクロソフトは、Microsoft 365 スイートをご利用のお客様向けに追加の推奨事項を発表しています。MICROS~1 チームは、「Microsoft 365 をご利用のお客様は、Microsoft Defender セキュリティ センターで公開している脅威分析レポートをご参照ください」と述べています。「この脅威分析レポートには、セキュリティ運用担当者が脅威を検知・軽減できるよう設計された技術的な詳細、緩和策、そして検知の詳細が記載されています。」®
