日本語
Contact Us

プラットフォーム

ソリューション

お客様

パートナー

ブログ

その他

デモを開始caret-right

連絡先 (EN)caret-right
caret-left Back

Reveal(x)

Deployment Model

SaaS-Based Solution >

On-Premises Solution >

Security

Network Detection and Response >

Intrusion Detection System >

Forensics >

Performance

Network Performance Monitoring >

Forensics >
caret-left Back

ソリューション

Learn More

Use Cases

Explore By Industry Vertical
caret-left Back

お客様

顧客向けリソース、トレーニング、
ケーススタディーなどはこちらです。

Learn More

Customer Community

Cybersecurity Services

ExtraHop Support
caret-left Back

パートナー

パートナー向けリソースと、当社チャネルおよびテクノロジーパートナーに関する情報。

Learn More

Work With Us! Become a Partner

Integrations and Automations

Partners
caret-left Back

ブログ

Learn More
caret-left Back

ExtraHopについて

ニュールーム

キャリア概要

リソース

caret-left Back

ExtraHopについて

当社の革新的なアプローチから企業文化まで、企業としてのExtraHopの特徴をご覧ください。

Learn More

お問い合わせ

caret-left Back

ニュールーム

最新のニュースと情報

Learn More

Sign Up for a Live Attack Simulation

Upcoming Webinars and Events

caret-left Back

キャリア概要

私たちは自分の取り組んでいることを信じています。一緒に働く準備はできていますか?

Learn More

キャリア概要

募集中のポジションを見る

LinkedInでつながる

caret-left Back

リソース

リソースアーカイブ全体を検索し、ホワイトペーパー、レポート、データシートなどを探す。

All Resources

Customer Stories & Case Studies

Ransomware Attacks in 2021: A Retrospective

Cyberattack Glossary

Network Protocols Glossary

ドキュメンテーション

ファームウェア

トレーニングビデオ

back caretBlog

SIGRED とは何か、どの程度深刻なのか、そしてどのように対応すべきか?

CVE-2020-1350: Microsoft DNS SIGRedの脆弱性

エグゼクティブサマリー

2020年7月14日、Microsoftは、Microsoft DNSのすべての最新バージョンに影響を与えるMicrosoft DNS Serverサブシステムの脆弱性を公開しました。この脆弱性により、攻撃者は不正なDNS応答を利用して、パッチが適用されていないMicrosoft DNSサーバ上で認証を必要とせずにリモートコードの実行を引き起こすことができます。熟練した能力を持つ攻撃者は、この脆弱性を利用して、Microsoft DNS サーバー(通常は Microsoft Active Directory サーバーと同居)へのリモート管理者権限を得ることができます。

言い換えれば、この脆弱性は、組み込みのセキュリティチェックやセキュリティアーキテクチャの大部分を回避しながら、組織の重要インフラへの直接アクセスを可能にします。さらに、この脆弱性はワームとして動作可能であり、攻撃が容易に自動化され、ユーザーの介入なしにマルウェアを介し拡散する可能性があることを示しています。

この脆弱性は、現在サポートされているMicrosoft Serverのすべてのバージョンを含む、2003年以降のMicrosoft Serverのすべてのバージョンに影響を与えます。

このCVEの詳細については、Microsoftのリストを参照してください。.

なぜそれが重要なのか

この脆弱性は、攻撃者がハイレベルのドメインアカウントを侵害する可能性があり、攻撃者は組織のActive Directory環境に直接アクセスすることができます。さらに、この脆弱性はリスクスコアの高いマルウェアを介して悪用される可能性があります。

この脆弱性の NIST CVE でのベーススコアは10.0 CRITICAL (最高の重要度スコア)となっています。

How the Attack Works (Anatomy)

SIGRed の脆弱性に関する CVE-2020-1350 は、 dns.exe!SigWireRead 関数のヒープベースのバッファオーバーフローにつながるIntegarオーバーフローを利用しています。このオーバーフローは、サイズを超えた SIG レコードを持つ DNS リクエストに応答することで発生します。

詳細は以下を参照ください。SIGRed – Resolving Your Way into Domain Admin: Exploiting a 17 Year-old Bug in Windows DNS Servers

検知

検知難易度:中程度

ほとんどのEDR、プロキシ、ファイアウォール製品はこの攻撃を検出しません。さらに、Windows ベースのロギングツールでは、本件に関するエラーコードは表示されません。

この脅威を確実に検知するには、ネットワークベースの検知が最も効果的です。

ネットワークベースの検知

この脆弱性を悪用しようとする試みを可視化するために、ExtraHop Reveal(x) のシグネチャルールが公開されています。

IDS の検知

ZeekやSuricataなどのIDS製品の中には、サイズが大きいDNSレスポンスを探すことでこの攻撃を検知できるものもあります。

エンドポイントベースの検知

管理者はdns.exeプロセスからdns.exeの異常な子プロセスやその他のファイルシステムの異常な挙動を探すことができます。さらに、メモリ悪用を防止する機能を持つ一部のEDR製品は、dns.exeプロセスを終了させることで悪用を検知して攻撃を防止できる場合があります。

是正策と対応戦略:

回避策

マイクロソフトは、変更コントロールなどの要件によりパッチが適用できないサーバー環境の回避策を公開しています。全文はこちらからご覧いただけます。影響を受けるサーバーにレジストリ キーを追加し、以下のように DNS サービスを再起動することが回避策となります。

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS

是正策

この問題を解決するには、お使いのサーバー環境に適切なセキュリティ更新プログラムをインストールすることをお勧めします。セキュリティ更新プログラムは、マイクロソフトから直接入手できます。

参照

ExtraHop Reveal(x) Live Activity Map

Stop Breaches 87% Faster

Investigate a live attack in the full product demo of ExtraHop Reveal(x), network detection and response, to see how it accelerates workflows.

Start Demo

Sign Up to Stay Informed