Zerologon (CVE-2020-1472)
Zerologon (CVE-2020-1472) とは何ですか?
Zerologon (CVE-2020-1472)Microsoft Netlogon プロトコルの暗号上の欠陥で、ネットワーク上の攻撃者がドメインコントローラーのマシンパスワードをリセットし Active Directory を奪取できる。
Zerologon は CVE-2020-1472 として追跡され、Secura が 2020 年 8 月に公表した Microsoft Netlogon Remote Protocol の重大な特権昇格脆弱性です。Netlogon 認証で AES-CFB8 をゼロ IV で誤って利用していたことが原因で、企業ネットワーク内の攻撃者はドメインコントローラーを含むあらゆるドメイン参加コンピューターになりすませます。偽の認証要求を繰り返すことで、DC のマシンアカウントのパスワードを空文字列にリセットし、認証情報をダンプして数分で Domain Admin を取得できます。CISA は緊急指令を発令し、Microsoft は 2021 年 2 月までに段階的に Secure RPC を強制するパッチを提供しました。ランサムウェアや APT は未対応ネットワークに対して Zerologon を大規模に悪用しました。
● 例
- 01
LAN 上の攻撃者が Zerologon を実行し DC のパスワードをリセット、DCSync で全ハッシュを抜き取る。
- 02
防御側はレガシー機器にパッチを当てる間、DC を強制モードにし Netlogon の 5829 / 5827 イベントを監視する。
● よくある質問
Zerologon (CVE-2020-1472) とは何ですか?
Microsoft Netlogon プロトコルの暗号上の欠陥で、ネットワーク上の攻撃者がドメインコントローラーのマシンパスワードをリセットし Active Directory を奪取できる。 サイバーセキュリティの 脆弱性 カテゴリに属します。
Zerologon (CVE-2020-1472) とはどういう意味ですか?
Microsoft Netlogon プロトコルの暗号上の欠陥で、ネットワーク上の攻撃者がドメインコントローラーのマシンパスワードをリセットし Active Directory を奪取できる。
Zerologon (CVE-2020-1472) はどのように機能しますか?
Zerologon は CVE-2020-1472 として追跡され、Secura が 2020 年 8 月に公表した Microsoft Netlogon Remote Protocol の重大な特権昇格脆弱性です。Netlogon 認証で AES-CFB8 をゼロ IV で誤って利用していたことが原因で、企業ネットワーク内の攻撃者はドメインコントローラーを含むあらゆるドメイン参加コンピューターになりすませます。偽の認証要求を繰り返すことで、DC のマシンアカウントのパスワードを空文字列にリセットし、認証情報をダンプして数分で Domain Admin を取得できます。CISA は緊急指令を発令し、Microsoft は 2021 年 2 月までに段階的に Secure RPC を強制するパッチを提供しました。ランサムウェアや APT は未対応ネットワークに対して Zerologon を大規模に悪用しました。
Zerologon (CVE-2020-1472) からどのように防御しますか?
Zerologon (CVE-2020-1472) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Zerologon (CVE-2020-1472) の別名は何ですか?
一般的な別名: CVE-2020-1472, Netlogon 特権昇格。