treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

静かに話題のWindows Server脆弱性「Zerologon」

セキュリティ WindowsUpdate 運用管理

Windows Server向けの8月の更新プログラムが9月の現在になって静かに話題になっているのでご報告です。
その脆弱性はCVE-2020-1472でした。

脆弱性の内容が分るページを読む

Microsoftの公表で「CVE-2020-1472 | Netlogon の特権の昇格の脆弱性」となっているWindows Server向けの脆弱性を修正する更新プログラム。この更新プログラムは先月となる8月の月例更新プログラムの累積更新プログラムに含まれて配信されていました。
■CVE-2020-1472 | Netlogon の特権の昇格の脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1472

これを見ると、Netlogonという認証の基本となるプロトコルが狙われていることが見て取れます。
ドメインコントローラで認証されたコンピュータアカウントの認証情報の詐称やNetlogon認証のセキュリティ機能を無効化したり、Active Directory上のSAMデータベース上のコンピュータアカウントのパスワード情報を変更したりしてしまいます。

8月時点ではざっと目を通した程度だったのですが、JPCERT/CCで9月16日付けで更新されたページを見ました。
■Netlogon の特権の昇格の脆弱性 (CVE-2020-1472) への早急な対応をhttps://www.jpcert.or.jp/newsflash/2020091601.html

「早急な対応を」と呼びかけられています。月例の累積更新プログラム適用するだけじゃない、なんか違う温度感が感じられます。

案の定、この後悔された情報の中には、「マイクロソフトは本脆弱性への対処を 2 段階に分けて実施する予定とのことです。」なんて記述が見て取れました。

2段階…?

実は、長期的なセキュリティ更新だった

前述のJPCERT/CCのCVE-2020-1472ページ内容を読んでいると、以下のMicrosoft Security Response Centerブログ記事へのリンクがあります。
■[AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要
https://msrc-blog.microsoft.com/2020/09/14/20200915_netlogon/

これを読むと分ってくるのが、この脆弱性が来年2月の月例更新までの長期的な計画で対策が実施されると言う点です。

問題になっているのがNetlogonリモートプロトコルによる脆弱なセキュアチャネル接続によって本来許可されてない権限での操作が実行できてしまう、という問題。これを対策したのが、2020年8月の月例更新によるWindows Server向け累積更新プログラムの適用になるみたいです。一次対策は完了している状態といえそうです。

しかし、この脆弱性はドメインの全体に対策を波及させる必要があるのが根本的対策として必要とされています。つまり、ドメインのコンピュータ全体でSecure RPCを利用して通信を実行するようにならないと根本的に対策されたとはいえない脆弱性のようです。
WindowsPCならWindows Updateで最新の更新プログラムが漏れなく適用されていればそれでいいようですが、別の(Windows外の)コンピュータでSecure RPC対応かどうか確認し、対策されていないようであれば対策を実施しなきゃいけなくなる、ということのよう。

そのため、対策の猶予として来年(2021年)2月まで根本的な対策(つまりSecure RPC接続をドメイン内で強制する)という更新は実施せず、Secure RPCの有無に関わらずしばらくドメイン内の通信は今まで通り。※ただしADの信頼関係やドメインコントローラ間の通信はSecure RPCでないと既にブロックされるようになっている
来年2月(正確には2月9日)の月例更新にSecure RPCの接続を強制され、Secure RPCに対応していないコンピュータはブロックされてしまうようになります。

それまでの間で何をやらなければいけないか、と言う点については、上述の「[AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要」ページの「[4] 必要となる作業」に記載があります。主にイベントログで接続エラーの有無がないか確認したり、レジストリキー(※)でSecure RPC強制モードをテストしたり、という課題があります。

※レジストリキー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\Netlogon\Parameters\FullSecureChannelProtection
このレジストリキーが「1」ならSecure RPC強制モード、「0」なら従来通りの脆弱な Netlogon セキュアチャネル接続許可のモード(ただしこれは非推奨)

これ、なにも気にしていないActive Directoryの管理者が、来年2月のWindows Update適用後に気づいて、対策漏れにあたふたしてしまう、なんてことがあるんじゃないか?って一瞬よぎりました。

意味するところ

これの意味するところの一つとして、「サポート対象外(終了してしまった)WindowsはActive Directory環境から排除される」ということではないかと思います。
これは、Active Directory内のサーバ(Windows ServerベースのActive Directoryドメインコントローラ)とクライアント(Windows10とか各Windows Serverバージョンでメンバーサーバとなっているコンピュータ)の間でNetlogonセキュアチャネル接続では「安全なRPC(Secure RPC)」が使えない(あるいは使わない)とActive Directory内での認証ができない=コンピュータの利用ができない、ということに繋がるのではないかと考えました。
つまり、こっそりサポート終了バージョンのWindowsが存在しているような環境だと、突然Active Directory内でつまはじきになってしまうということだと思えます。(もちろん、サポート終了Windowsを使っているのが問題の根本なのですが)

結局Secure RPC強制のActive Directory環境では最新の更新プログラムが適用されていないコンピュータはドメインのメンバーサーバだろうがクライアント(Windows10/8.1)だろうがお構いなしに接続が拒否されてしまいます。

一番の問題は、2月までこの件を忘れずにいられるかどうか、これが大きな課題ということも。