Activ Directoryドメインサービスはネットワーク上のコンピューターを一元管理する機能です。企業等のシステムのサーバー、PC、プリント等を管理する際に使われています。このActiv Directoryの認証コンポーネントであるMicrosoft Windows Netlogon Remote Protocol (MS-NRPC)に脆弱性(CVE-2020-1472)があり、この脆弱性が悪用されると管理者権限が攻撃者に奪われる恐れがあるということです。
すでに攻撃用ツールに実装されている
Zerologon と呼ばれているこの脆弱性はどのようなものなのでしょうか?Japan Vulnerability Notes(JVN)によると、Microsoft Windows Netlogon Remote Protocol (MS-NRPC)は初期ベクターに0を使用しており、クライアントのチャレンジおよび ClientCredential パラメータにすべて0を使用することで、攻撃者は256分の1の確率でドメインに参加しているコンピューターに必要な認証を通過することができるということです。そして Active Directory コンピューターアカウントに空のパスワードを設定されてドメイン管理者権限を窃取される可能性があるということです。
この脆弱性に対しては、マイクロソフトが初期展開のフェーズとして今年8月11日より更新プログラムの提供を開始していて、2021年第1四半期にはドメインに参加しているすべてのデバイスを強制的に保護するフェーズに移行すると表明しています。また、マイクロソフトによると、MicrosoftDefender for IdentityによってZerologonを悪用した攻撃が検知されるようになったということです。
米国土安全保障省のCISAは9月18日、米国の行政機関に対して緊急指令をリリースしてZerologonへのパッチの適用を求めました。指令の中でCISAは、Zerologonのエクスプロイトコードが9月上旬に公開されたことを明らかにし、攻撃はすでに発生しているとの認識を示しました。マイクロソフトは9月24日にZerologonのエクスプロイトが特定の攻撃に組み込まれていることを確認したことをツイッターで明らかにしています。JPCERT/CCによると、Zerologonを悪用する機能がすでにmimikatzやCobalt Strikeなどの攻撃用ツールに実装されているとのことです。よってJPCERT/CCは今後、この脆弱性を悪用した様々な攻撃が行われる可能性があるとしています。Mimikatzはメモリに格納されているパスワードなどを取得するパスワードダンプツールで、Cobalt Strikeは標的型攻撃を模倣するインシデント対応演習などで使用されるツールですが、悪用されてサイバー攻撃用のツールとして使用されている実態があります。
侵入から2時間で管理者権限奪取の報告も
ブログ「THE DRIFT REPORT」の記事によると、ランサムウエアRyukの脅威アクターがZerologon(CVE-2020-1472)を使用して権限を昇格させ、フィッシングメールによる侵入から5時間でRyukをドメイン全体に感染させたということです。このケースでは、フィッシングメールによって、バックドア機能とローダー機能を有するBazarマルウェアを感染させます。感染したユーザーは上位権限がなかったことからZerologonの脆弱性を利用して環境内のドメインコントローラーで資格をリセットしてパスワードをゼロ化にリセット。侵入から管理者権限取得までにかけた時間は2時間ということです。Cobalt Strike、PowerShellなどのツールを使用して最終的にRyukのペイロードを配布、侵入から目的を達するまでにかけた時間は5時間ということです。この記事では、攻撃を防御するには侵入から1時間以内に対処する必要があるとしています。
Zerologonの脆弱性をつかれた場合、企業等の組織ネットワークの管理者権限が奪われて組織全体に極めて深刻な被害をもたらす恐れがあることから、関係機関は早急な対応を呼びかけています。マイクロソフトではActiv Directory管理者向けに脆弱性の概要と必要となる作業を解説しており、JPCERT/CCはマイクロソフトが提供する情報を参考に更新プログラムの適用や自組織で必要となる対応を確認の上、速やかに対応するよう求めています。
■出典
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1472
https://thedfirreport.com/2020/10/18/ryuk-in-5-hours/