BlogSecuraによって初めて発見された「CVE-2020-1472 Zerologon」の脆弱性は、先日、Microsoftの8月のPatch Tuesdayに報告されました。この特権エスカレーションの脆弱性は、攻撃者がユーザーの認証情報なしでWindowsドメインの制御を取得できる可能性があります。この投稿の時点で、この問題を悪用した複数の実現性が示されています。
この脆弱性のCVSSスコアは10で、ExtraHopの脅威研究チームはCVE-2020-1472が積極的に悪用されると予想しています。この脆弱性は悪用されやすいため、まだActive Directoryシステムにパッチを当てていない組織に問題を引き起こすことは間違いありません。
偽造されたNetlogon セッション
公開された実現の可能性では、認証されていない攻撃者がActive Directoryシステムの完全な管理者権限を取得できることが示されています。公開されている実現の可能性では認証済みの Netlogon セッションを偽造することで、パスワード変更機能を利用してドメインコントローラのマシンアカウントのパスワードをリセットします。一部の公開情報では、パスワードを元の値にリセットします。アカウントパスワードが敵対者によって既知の値に設定されている間に、例えばDCSyncのような攻撃が行われ、チケットやサービスの資格情報を複製して、組織全体のサービスやデータに自由にアクセスできるようにすることができます。
ExtraHopは、直ちにパッチを適用し、システムがすでに侵害されている可能性があることを認識するよう組織に促しています。悪用の試みを検知する能力のない組織は、高いリスクにさらされたままです。
ExtraHop Reveal(x)のNDRは、MSRPCの解析をサポートしており、Active Directoryインフラストラクチャに対する攻撃を検知するのに適しています。
ExtraHopは、お客様がCVE-2020-1472のような脅威を理解し、対処できるように検知ルールを作成することで、悪用された攻撃に迅速に対応できることをお約束します。全てのExtraHop Reveal(x) バージョン8.0以降のデプロイメントでは、悪用の試みを検知する機能が搭載されており、管理者はパッチを展開する前にシステムを保護することができます。
ここでは Reveal(x) でZerologonを検知する方法を簡単に説明します:
