UJP - Netlogon の特権の昇格の脆弱性への対応（CVE-2020-1472）

最新配信
RSS
RDF
ATOM

ブログ - Netlogon の特権の昇格の脆弱性への対応（CVE-2020-1472）

Netlogon の特権の昇格の脆弱性への対応（CVE-2020-1472）

カテゴリ :: セキュリティ » 脆弱性情報／注意喚起

ブロガー :: ujpblog 2020/9/16 0:46

　2020年8月の月例ロールアップについて．

CVE-2020-1472 | Netlogon の特権の昇格の脆弱性
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2020-1472
引用：

攻撃者が Netlogon Remote Protocol (MS-NRPC) を使用してドメインコントローラーに対して脆弱な Netlogon セキュアチャネル接続を確立する場合に、特権の昇格の脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、特別に細工されたアプリケーションをネットワーク上のデバイスで実行する可能性があります。

　追加情報．

[AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要
https://msrc-blog.microsoft.com/2020/09/14/20200915_netlogon/

引用：

本脆弱性が修正している Netlogon プロトコルは、Windows デバイスだけではなく、非 Windows のデバイスにおいても実装されています。このため非 Windows デバイスの Netlogon 実装への互換性を考慮し、本脆弱性への対処を 2 段階に分けて実施する予定です。

　これが大変だ．

引用：

非 Windows OS の場合は、Netlogon 実装が Secure RPC に対応するよう更新する必要があります。詳細は、提供元にご確認ください。

　VPNとかでAD連携しているネットワーク機器もあるよね．複数箇所での同時ログオンを許さない機能とかの実装でも利用しているでしょう．（あれなんていうの・・・）

引用：

2020 年 8 月 11 日の更新プログラムにて、強制モードを早期に有効にするために次のレジストリ設定が利用可能になります。この設定は 2021 年 2 月 9 日からの強制フェーズに関係なく有効になります。

　年末年始は避けられているし，半年時間があるから・・・と思っていたらあっという間に．

引用：

早めの適用を!

この脆弱性はセキュリティ更新プログラムが公開されるよりも前に脆弱性の詳細や攻撃コードが公開される、いわゆる“ゼロデイ” の脆弱性ではありません。

追記
Zerologon攻撃、未認証でDC管理者権限を取得されるリスク。CVSSスコア10の深刻な脆弱性
https://news.yahoo.co.jp/byline/ohmototakashi/20200915-00198345/

　ADに脆弱性の有無を確認するPythonスクリプトも公開中．

ZeroLogon testing script
https://github.com/SecuraBV/CVE-2020-1472

さらに追記
　こっちの記事の方が文書が柔らかいかな．

MS、Netlogonプロトコル実装の特権昇格脆弱性に対するガイダンスを管理者向けに公開
https://forest.watch.impress.co.jp/docs/news/1277116.html

さらに追記20201005
　2020年8月のパッチを適用していたら，イベントログに以下の番号のログが出てないか定期的に確認する．
引用：

定期的に、イベント 5827、5828、および5829 を監視して、脆弱なセキュアチャネル接続を使用しているアカウントを特定します。

　このイベントが発生していたら，2021年1月の強制モード時に接続できない問題が出る．

5827 非SecureRPC接続の試行(接続拒否・マシン)

5828 非SecureRPC接続の試行(接続拒否・信頼)

5829 非SecureRPC接続が許可されている場合

ujpblogさんのブログを読む
トラックバック (0)
閲覧 (2094)

ブログ - Netlogon の特権の昇格の脆弱性への対応（CVE-2020-1472）

Netlogon の特権の昇格の脆弱性への対応（CVE-2020-1472）

トラックバック