マイクロソフトは8月11日、脆弱性「CVE-2020-1472」を公表しました。「Zerologon」と呼ばれるこの脆弱性は、攻撃者がドメインコントローラ(DC)に対して認証を試みる際、Netlogon認証プロセスで使用される暗号化アルゴリズムを利用し、コンピュータIDを偽装できると考えられます。このNetlogon Remote Protocol(MS-NRPC)の脆弱性により、攻撃者がネットワーク上のデバイスでアプリケーションを実行できる可能性があります。また未認証の攻撃者は、MS-NRPCを使用してDCに接続し、管理者権限へのアクセス権を取得します。既に攻撃実証コード(POC)が公開されており、いつ攻撃が発生してもおかしくない状態と言えます。攻撃が行われた場合、DCが乗っ取られるなど影響が大きいため、速やかな修正プログラム適用が推奨されます。「CVE-2020-1472」に対するパッチは2段階に分けて提供される予定であり、8月の月例セキュリティパッチではZerologon攻撃に対する一時的なパッチが含まれ、根本的なパッチは2021年2月に提供が予定されています。
トレンドマイクロ運営のセキュリティ研究機関「Zero Day Initiative(ZDI)」のDustin Childs氏は、以下のように述べています。
「懸念されるのは、本記事執筆時点では完全な修正を利用できないという点です。最初に公開されたパッチは、DCによるデバイスの保護を有効化します。そして、現時点で2021年の第1四半期に公開予定の2つ目のパッチは、Netlogonを使用した安全な遠隔手続き呼出し(Remote Procedure Call 、RPC)を行い、本脆弱性に完全対処します。このパッチの適用後も、利用者はDCへの変更を加える必要があります。マイクロソフト社は、管理者が正しい設定を行うのに役立つガイドラインを公開しました。」
■パッチが存在するにも関わらず、問題視する理由
本ブログの読者の中には、「パッチがあるならば、この脆弱性はそれほど問題にならない」と考えている方もいるでしょう。しかし、実際には運用上の都合などで直ちに適用できない場合もあり得ます。パッチ適用における障害に関する考察については、Dustin氏執筆のこちらの投稿をご一読ください。迅速なパッチ適用が難しいケースにおいて、この脆弱性のパッチが実装される時期が2021年まで先延ばしとなることも予想されます。
また、本ブログの読者の中には、セキュリティ業界内で、月例アップデート「Patch Tuesday」の後に「Exploit Wednesday」が発表される、といった旨の冗談を聞いたことがある方もいるでしょう。この冗談は、マイクロソフト社とAdobe社が毎月第1火曜日に新しいCVEへのパッチを公開した後に攻撃者が行う行動を示唆しています。具体的には、攻撃者は脆弱性攻撃コードを作成するために、パッチを解析する作業に取り掛かるとされています。今回のZerologonではすでにPoCが公開されていることを考慮すると、パッチ適用が困難な企業は数か月の間、この脆弱性を利用した攻撃の脅威に晒された状態になる可能性もあるでしょう。
■被害に遭わないためには&トレンドマイクロの対策
トレンドマイクロ製品では脆弱性を利用する遠隔攻撃の対策として、仮想パッチが用意されています。この仮想パッチは、公式にベンダから提供されるパッチ適用前に、脆弱性からデバイスを保護する追加のセキュリティレイヤーを提供します。仮想パッチとは名前からわかるように、第三者が対象の脆弱性を悪用しようとした場合に、環境を保護するものです。仮想パッチは、各企業に適した方法でパッチの適用を可能にする、重要なセーフティネットになる場合があります。トレンドマイクロは、パッチ管理プロセスの一部としてユーザを支える仮想パッチを使用し、脆弱性からユーザ環境を保護します。
また、Z D Iの貢献によって、トレンドマイクロのユーザは、平均でベンダがパッチを公開する81日前から保護されています(2019年のデータより)。いかにして保護が可能になるのか、と疑問を抱く方もいらっしゃるでしょう。これはとても単純なことで、Z D Iに脆弱性が提出されると、トレンドマイクロのチームでは、パッチが未適用の脆弱性に対して追加で保護しようと取り組むためです。
トレンドマイクロによる脆弱性「CVE-2020-1472」からの保護について興味がある方は、こちらをご一読ください。
参考記事:
- 「“Zerologon” and the Value of Virtual Patching」
By Trend Micro
翻訳: 下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)