ゼロログオン攻撃の検出（CVE-2020-1472）

特に重大な脆弱性が多く見つかった非常に暑い7月の後、1, 2, 3)、8月のMicrosoftのPatch Tuesdayは比較的静かでした。はい、再び100を超える脆弱性が修正され、はい、17の欠陥が重大として評価されましたが、Microsoftは「我々は皆滅びた」というレベルのバグを指摘しませんでした。とはいえ、その時セキュリティリサーチャーはZerologon攻撃に注目し、Netlogonリモートプロトコルを悪用してドメインコントローラーに管理者アクセスを得ることを可能にする特権昇格の重大な欠陥（CVE-2020-1472）に注目しました。

Zerologon脆弱性

基本的に、発見されたCVE-2020-1472（CVSSスコア：10.0）は、捕らえられたドメイン管理者アカウントを支配しようとした詐欺師に道を譲りました。この脆弱性は、Common Vulnerability Scoring Systemによって最も高い深刻度のスコアを与えられました。なぜなら、実行可能なPOCエクスプロイトや、CVE-2020-1472の悪用に関連した悪質な活動が非常に高い確率で予想されるからです。

CVE-2020-1472 の脆弱性は、Netlogonリモートプロトコルで使用される暗号アルゴリズムに直接関連しています。この脆弱性は、開始変数または初期化ベクトルがランダム数ではなくゼロに設定されていたという特異性に基づいてその名を得ました。

Zerologon攻撃に関する技術的詳細

今日、セキュリティ企業Securaは 「Zerologon」の致命的な欠陥の背後にある技術的詳細を発表しました。CVE-2020-1472の脆弱性の悪用がいかに容易であるかの証拠はすでに流れ始めています。Zerologonは被害を受けたドメインコントローラの支配を攻撃者に与えます。ドメインコントローラーとTCPセッションを確立するため、攻撃者は通常、ネットワーク内に物理的にアクセスするか、外部からの立脚点を持ちます。まず、詐欺師は企業のネットワーク上のコンピュータの資格情報を偽造しなければなりません。これは、Netlogonリモートプロトコルの初期化ベクトルが不十分なために256回未満で可能です。その後、攻撃者はMS-NRPC内の暗号輸送機構を無効にして、さらに行動するための道を開き、最初にシステムに入るために使用されたアカウントのパスワードを変更して、コンピュータがログインできないようにします。 the technical details behind Zerologon critical flaw, and evidence of the ease of exploitation of CVE-2020-1472 vulnerability has already begun to pour in. Zerologon allows a hacker to take command over the victimized domain controller. To establish a TCP session with a domain controller, the hackers are typically inside the network having physical access to the equipment, or have a standing point from outside the network. First, the fraudsters have to spoof the credentials of a computer on the company’s networks, which is possible in less than 256 attempts because of poor Initialization Vector of Netlogon Remote Protocol. Then, the hackers would disable the encryption transportation mechanism within MS-NRPC to clear the way for their further actions – change the password for the account which was initially used to get into the system so that the computer won’t be able to log in.

CVE-2020-1472のセキュリティアップデートと緩和策

Microsoftは、企業ネットワーク内のデバイスの接続を根本的に変更する2段階でこのセキュリティ問題を解決する予定です。

最初のステップである初期展開フェーズは、2020年8月11日に開始されました。それは2020年第1四半期まで続き、この間にアップデートがリリースされます。CVE-2020-1472に関連する脆弱なNetlogon接続を管理者に警告するために、Microsoftは新しいEventIDを追加し、影響を受けたWindows Serverバージョンのアップデートも提供しました。その中で、EventID 5829 は脆弱なNetlogon接続について通知するために追加されました。

フェーズ2の強制段階では、2021年2月9日に開始される予定で、アップデートがインストールされると、ドメインコントローラは脆弱なNetlogonセキュアチャネル接続を使用するデバイスからの脆弱な接続を、グループポリシーによって許可されていない限り拒否します。

Zerologon攻撃の技術的詳細と検出

現在、組織のネットワーク上のシステムを侵害したサイバー犯罪者は、ほぼ瞬時にドメインコントローラーにアクセスできます。ボットネットのような Emotet or TrickBot は、感染したシステムへのアクセスを他のグループに提供し、さらに危険になり、ランサムウェアギャングがネットワークに忍び込んだ瞬間からファイルを暗号化し始めるまでの時間が大幅に短縮されます。

まだインストールしていない場合は、できるだけ早くセキュリティアップデートを適用してください。また、Zerologon攻撃を検出するために、私たちのシニア脅威ハンティングエンジニアである Adam Swan が作成したコミュニティルールのダウンロードとデプロイをお勧めします： https://tdm.socprime.com/tdm/info/FgNYLnTxIVrs/7WbXfnQBSh4W_EKGaxL5/

ルールの翻訳は以下のプラットフォームに対応しています：

SIEM: Azure Sentinel, ELK Stack, RSA NetWitness, Splunk, LogPoint, Humio

NTA: Corelight

MITRE ATT&CK: 

戦術: 横方向の動き

技術: リモートサービスの悪用 (T1210)

Zerologon攻撃 (CVE-2020-1472 の脆弱性) 検出のための新しいルールは、SOC Prime Threat Detection Marketplaceで公開されています。
NVISOにより許可された脆弱Netlogonセキュアチャネル接続https://tdm.socprime.com/tdm/info/S4U7tNVmkwFr/Jp2DknQBPeJ4_8xcsU3h/?p=1
Anonymous User Changed Machine Password by Adam Swan, SOC Prime Team https://tdm.socprime.com/tdm/info/EPl2OKBmxbJ6/fHN5k3QBSh4W_EKG8VJB/?p=1#

SOC Prime TDMを試してみる準備はできましたか？ 無料でサインアップ。または Threat Bounty Programに参加 して独自のコンテンツを作り、TDMコミュニティと共有しましょう。