Netlogon 脆弱 性。 【セキュリティ ニュース】深刻な脆弱性「Zerologon」、「Samba」にも影響

Netlogon の脆弱性発覚!2020年8月のWindows Update適用すべし

逆にADに参加しないなら別に止まっていても問題ない。 OS:Windows 10 上記の環境にて、Zerologonを実際に悪用してターゲットのドメインコントローラの管理者権限が取得可能かを検証しました。 — Microsoft Security Intelligence MsftSecIntel IOC Microsoftが確認したExploit関連のIOCは以下の通り。 非Winデバイス互換性への考慮から2段階に分け対応が進められる。 1)で10が割り当てられました。

>

Microsoft Windows Netlogon Remote Protocol(MS

詳細は [3] 段階的な対処のスケジュールをご参照ください。 Windows NTのログオンプロセスを暗号化するために当初使用されていたアルゴリズムは、現在、問題が確認されている2DESでした。 このパスワードは、ドメインコントローラ上においてコンピューター アカウントの属性値に、クライアント上では LSA シークレットと呼ばれる領域に格納されています。 コールにはClientCredentialというパラメーターがあり、前のコールで送信されたクライアント・チャレンジにComputeNetlogonCredential関数を適用することによって計算される• Microsoftの公式ドキュメントを確認し、脆弱性の詳細、および必要となる対処の詳細を確認• Zerologonとは? Zerologonとは、Active Directoryのユーザ認証に使われるNetlogonプロトコルの暗号化処理における実装の不備により、ドメイン管理者権限を取得可能になる脆弱性です。 0以降のSambaをドメインコントローラとして使用している場合は影響を受ける可能性あり 脆弱性の評価• 6 レジストリ キー FullSecureChannelProtection を DC で設定し、強制モードをテストします。 ・イベントログ機能の更新 :• その発見の重要な部分は、Microsoftが、すべての他のRPCプロトコルとは異なる独自のタイプの暗号化を実装していたことです。 本脆弱性の影響を受ける製品を利用している場合、2020年8月に提供されている更新プログラムの適用に加えて、ドメインコントローラーに接続する Windows 以外の製品の互換性の確認や設定変更などの対応が必要になる場合があります。

>

Netlogonサービスとは?ワークグループ、無効化、使用の有無の影響を確認してみた

また、Securaによれば、偽装した認証パケットを送信しても、 無効なログイン試行の後にコンピュータアカウントがロックされることはないので、認証が成功するまで何度も試行することが可能だという。 Windows向けの代表的なポストエクスプロイトツールの1つにmimikatzと呼ばれるツールが存在する。 ドメインに参加しているすべてのコンピューターとそのパスワードが格納されたデータベース上の、コンピューターのパスワードを変更することが可能 より引用 Netlogon Remote Protocol MS-NRPC は、ドメイン参加しているデバイスによってローカルで使用されるRPCインターフェイス、ドメインベースのネットワークでユーザーおよびマシンの認証に使用されるRPCインターフェイスです。 この脆弱性を悪用するには、認証されていない攻撃者がMS-NRPCを使用してドメインコントローラに接続し、ドメイン管理者のアクセス権を取得する必要があります。 次ページでログインまたはお申し込みください。 これは、Active Directory内のサーバ(Windows ServerベースのActive Directoryドメインコントローラ)とクライアント(Windows10とか各Windows Serverバージョンでメンバーサーバとなっているコンピュータ)の間でNetlogonセキュアチャネル接続では「安全なRPC(Secure RPC)」が使えない(あるいは使わない)とActive Directory内での認証ができない=コンピュータの利用ができない、ということに繋がるのではないかと考えました。 偽装するのが最も効果的なデバイスはADサーバであり、ルートADサーバであればさらに好都合です。

>

Microsoft Windows Netlogon Remote Protocol(MS

5段階の設定値が適用され、保護された通信になります。 通常、ユーザのアカウントはパスワードを推測しようとして3回入力した後にロックされますが、コンピュータやマシンのアカウントはロックされません。 一次対策は完了している状態といえそうです。 ・ 新しいグループポリシー 「ドメイン コントローラー:脆弱な Netlogon セキュア チャネル接続を許可する」 :• ドメインコントローラの脆弱性の有無確認 SecuraBVの診断ツールを使用します。 という。 この脆弱性の最大の問題は、MS-NRPCがコンピュータサービスアカウントのパスワード変更などにも使用されることです。 この脆弱性を悪用することに成功した攻撃者は、ネットワーク上のデバイス上で特別に細工されたアプリケーションを実行することができます。

>

「Netlogon」の脆弱性突く攻撃が発生、攻撃コードが流通

9月11日に技術情報と実証コードが公開され、9月24日には攻撃に悪用されたとMicrosoftが注意喚起。 脆弱性の詳細はSecura社のホワイトペーパーに掲載されている。 8以降ではデフォルトで安全なRPCの使用が強制されるため、smb. これにより、認証プロセスで暗号化される部分のランダム性が消滅し、ドメインコントローラに接続できれば容易にドメイン管理者権限を取得することが可能となっています。 「CVE-2020-1472」は、「Windows Server」に明らかとなった脆弱性。 AD管理者が行う作業• というか上記URLでKBの番号クリックしたら、遷移先の下の方に Windows Update を使用している場合は、最新の SSU KB4565912 が自動的に提供されます。

>

【注意喚起】Windowsとネットワーク管理者権限を一撃で乗っ取る、脆弱性「Zerologon」対策について

この更新プログラムを適用すると、ドメインコントローラは次のような動作を行います。 2020年9月11日にWindows Serverのドメインコントローラに存在する特権昇格の脆弱性(CVE-2020-1472)の詳細がオランダのSecura社によって公開されました。 その後同社や発見者によって同脆弱性の詳細が明らかにされている。 8月に適用したどれかに含まれているとは思うのだが、確認しないと不安なので調べた。 Sambaのバージョンと設定によってsecure RPCで接続するか挙動が異なるため、該当バージョンの利用者は設定を確認する必要あり。 com' are the copyright properties of A Red Ventures Company. この更新プログラムを適用すると、ドメインコントローラは次のような動作を行います。

>

Active Directoryの脆弱性「Zerologon (CVE

これにより、たった数秒で成りすましが成立すると言われています。 著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。 問題になっているのがNetlogonリモートプロトコルによる脆弱なセキュアチャネル接続によって本来許可されてない権限での操作が実行できてしまう、という問題。 しかし、この脆弱性はドメインの全体に対策を波及させる必要があるのが根本的対策として必要とされています。 今回の注意喚起も一連のツイートはMicrosoft 365の宣伝のような感じになっている。

>

Windows ServerにおけるNetlogonの脆弱性「Zerologon」の攻撃コード出回る

2020年8月のWindows Update適用すべし さて、今回のNetlogonの脆弱性において、Microsoft 社は、2段階の解決を提示しています。 フェーズ2(2021年2月9日以降)はこのレジストリ値の中身に関係なく強制モードが有効となる。 このKB4565912なら確かに更新履歴に見つかったので、適用できていることが確認できた。 垣内由梨香 セキュリティ プログラム マネージャ セキュリティ レスポンス チーム. Microsoftは同モードを使ったテストを推奨。 調べると筆者の環境ではKB4571694を当てれば良いようだ。

>