脆弱性cve-2020-1472について調べてみたこと
こんにちわ。かみーです。インフラ部分の情シス的なことをやっています。多分。。。Outputの練習で色々書いていきます。
今回はもうじきStep2(強制切断)のパッチが配布されるZerologonについて改めて調べた内容を記載します。色々記載していますが内容については私はまだ検証できていないため、諸々自己責任でお願いします。
◆ADの脆弱性(CVE-2020-1472: 通称Zerologon)について
Zerologonについては以下を参照させていただきました。イチから勉強できた!
https://www.lac.co.jp/lacwatch/alert/202
脆弱性のZerologonについてざっくりと認識したのは以下です。
- Active Directoryで利用しているサービスNetlogonに脆弱性
- Netlogonはドメイン関連で利用しているサービス
- 本脆弱性は2020/8に発見され、MS側はStep1, Step2に分けてパッチ対応を実施
- 脆弱性を突くとドメコンの管理者権限を奪うことができドメイン内でやりたい放題できる
その中で、対策としてMSが配布しているパッチの概要は以下です。
- Step1のパッチは2020/8/11に配布済
- Step1では通信断は発生せず、様子見のみ
- Step1以降、ADDSサーバでイベントログが出るようになる(ID5827-5831の5つ)
- Step2のパッチは2021/2/9に配布予定
- Step2では「許可していた脆弱なNetlogon通信を強制的に遮断」
イベントログID5827-5831の概要は以下。
- 5827: 脆弱なNetlogonプロトコルを利用したコンピュータ―オブジェクトを拒否
- 5828: 脆弱なNetlogonプロトコルを利用したアカウントを拒否
- 5829: 脆弱なNetlogonプロトコルを利用しているが許可した
- 5830: 脆弱なNetlogonプロトコルを利用したコンピュータ―オブジェクトを許可
- 5831: 脆弱なNetlogonプロトコルを利用したアカウントを許可
つまり・・・特に何もせずに2021/2/9に配布されるパッチをのほほんとADDSサーバに当てると、このイベントログ5829に該当する通信が軒並みブロックされることと理解しました。なるほど。
なるほど・・・。インパクト結構大きいな・・・?後述しますがサポートされたWindowsバージョンだけがある環境ならまだしも、しっかり管理出来ていないところとか野放しとか全然あるよね。きっと。
イベントログを調べてみたら私が取り扱っている環境でも結構ログ出てました。今後の対応の一案としては「準備期間のために一時的に穴をあける方法」や逆に先んじて「強制的にチャネルを有効」。どちらもレジストリの値を変える方法のようです。(未検証のため要検証)(HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Prameters\FullSecureChannelProtectionの値を変更)
ただ、なかなかにインパクトのある脆弱性のため、仮に穴をあけて一時回避したとしても必ずスケジュールしていった方がいいですよねこれ。「そのうち~~」とかやってると忘れるヤツ。
なお、この影響を受ける端末については以下のように記載されています。サーバは言わずもがなドメコン全てです。
- Active Directory に参加しているすべてのデバイスは、Secure RPC に対応する必要があります。
- サポート対象内の Windows OSの場合は、既定で Secure RPCを利用可能です。追加の作業は必要ありません。ドメインコントローラが Secure RPC を利用するようになれば、ドメイン参加しているクライアントも自動的に Secure RPC を利用するようになります。サポート対象外の Windows を使用している場合、サポート対象の Windows にアップグレードします。
- 非 Windows OS の場合は、Netlogon 実装が Secure RPC に対応するよう更新する必要があります。詳細は、提供元にご確認ください。
そもそもRPC接続ってどんな時に使ってるんだろう?私が確認したログだと、某社ストレージの認証で使ってるように見えた。勉強することたくさんですのう。それでは今回はこの辺りで。