Zerologon (CVE-2020-1472) について

Zerologonとは

Zerologon は権限昇格の脆弱性です。
Netlogon Remote Protocol (MS-NRPC) の暗号化認証スキームの欠陥を利用して、偽装した認証トークンを利用して任意のコンピューターになりすまし、RPC(Remote Procedure Call) を実行することが可能です。
ドメインコントローラーのコンピューターパスワードを既知の値に設定する関数を呼び出し、新しいパスワードを利用してドメイン管理者のクレデンシャルを盗みます。

Severity(重大度)

CVSS 3.1 : 10.0
CVSS 2.0 : 9.3

何がヤバいの？

条件が揃えば簡単に攻撃できます。
なお、既に Secura が GitHub にてテストツールを公開しています。

対処方法は？

現時点での有効な手段は、2020 年 8 月のセキュリティ更新プログラム (月例)で既に公開されているパッチを適用し、強制モードを有効にすることです。詳細はマイクロソフト社の公開情報にてご確認ください。

各種情報

NVD
- CVE-2020-1472 Detail
https://nvd.nist.gov/vuln/detail/CVE-2020-1472

Microsoft
- 2020 年 8 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2020/08/11/202008-security-updates/
- CVE-2020-1472 に関連する Netlogon セキュア チャネル接続の変更を管理する方法
https://support.microsoft.com/ja-jp/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

Secura
- [Blog] Zerologon: instantly become domain admin by subverting Netlogon cryptography (CVE-2020-1472)
https://www.secura.com/blog/zero-logon