カテゴリー
tips トラブル対応

Netlogon脆弱性の対応

Netlogon脆弱性とは

ActiveDirectoryのドメインコントローラーでNetlogonの特権昇格の脆弱性を付かれる恐れがある。
一瞬はあ?となるが、悪意のある者が特権昇格してしまうなんて聞くと、ADの管理者は事態の深刻さを無視できない。


そもそもNetlogonとはActiveDirectoryのドメインコントローラーとクライアント間での通信に必要なサービスだ。
これが動いていないとAD傘下のPCは正常に使用できない。
逆にADに参加しないなら別に止まっていても問題ない。

それで、このNetlogonサービスがドメインコントローラーとやり取りする際に使うNetlogonリモートプロトコルの暗号化処理に問題があって悪意のあるアプリケーションが実行されると特権昇格が可能になる。


ADでのやり取りなので外部からどうこうされる問題ではないが、流行しているEmotetなどで社内に侵入されていたりした場合、この脆弱性を付かれると被害が拡大するだろう。

パッチはどれを当てればよい?

この脆弱性はZerologonという名前も付けられており、既にこの脆弱性を悪用した攻撃も確認されているとのこと。
当然深刻度も「緊急」なので急ぎパッチを当てる。


調べると筆者の環境ではKB4571694を当てれば良いようだ。
ただ、同時に8月の月例パッチに入っているという情報もあった。それならさっきWindowsUpdateを実行したから入ってきているはず、
ということで更新履歴を確認するが、KB4571694というのはないようだ。
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1472

8月に適用したどれかに含まれているとは思うのだが、確認しないと不安なので調べた。
しかし、どれに含まれているのか中々情報が見つからない。
苦労してやっと下記の情報を見つけた。というか上記URLでKBの番号クリックしたら、遷移先の下の方に

Windows Update を使用している場合は、最新の SSU (KB4565912) が自動的に提供されます。

https://support.microsoft.com/ja-jp/help/4571694/windows-10-update-kb4571694 より

と普通に書いてあった。

このKB4565912なら確かに更新履歴に見つかったので、適用できていることが確認できた。
ところでKB4571694がこのKB4565912に含まれていることが分かりにくすぎないか?もう少し目立つようにバーンと表示しておいてほしいものだ。

フェーズ2がある?

ところでこの脆弱性対応はこれで終わりでなくて、フェーズ2が2021年2月9日から提供されるとのこと。
今回のフェーズ1はWindowsデバイスが対象で、フェーズ2では非Windowsデバイスに対してもセキュアなnetlogonが強制されるということのようだ。


ドメコンと非Windows端末が通信しなければあまり関係ないようだが、こちらのパッチも念の為適用するようにしよう。

どちらにせよ、非常に深刻な脆弱性なので、すぐに対応を取る必要があるのは確かだ。

参考サイト:
https://www.jpcert.or.jp/newsflash/2020091601.html
https://msrc-blog.microsoft.com/2020/09/14/20200915_netlogon/

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください