Netlogon の脆弱性発覚！2020年8月のWindows Update適用すべし

本記事について

本記事は、CVE-2020-1472にて報告された、Netlogonの脆弱性について記載したものです。
2020年8月のWindows Updateについては、こちらを参考にしてください。

Netlogonの脆弱性について

Netlogon Remote Protocol (MS-NRPC) を使用してドメイン コントローラーの脆弱な Netlogon セキュア チャネル接続を確立する際、特権昇格の脆弱性が存在します。この脆弱性を悪用した場合、アプリケーションをネットワーク上のデバイスで実行できてしまいます。
脆弱性レベル（深刻度レベル）が10と評価されました。十分に警戒してください。

追記 2020/09/17

Secura社が本脆弱性を「Zerologon」と命名しました。理由としては、Netlogonの認証時に、パラメーターに「0」を入れることで、攻撃が可能になります。
攻撃者は脆弱性をつき、どのような攻撃ができるのか、より明確になりました。

• ドメインコントローラーの認証フェーズにおいて、ネットワーク上のコンピューターとしてを詐称することが可能
• Netlogonの認証プロセスにおけるセキュリティ機能を無効化
• ドメインに参加しているすべてのコンピューターとそのパスワードが格納されたデータベース上の、コンピューターのパスワードを変更することが可能

Netlogon Remote Protocol (MS-NRPC)

Netlogon リモート プロトコル（MS-NRPC） は、ドメイン参加しているデバイスによってローカルで使用されるRPCインターフェイス、ドメインベースのネットワークでユーザーおよびマシンの認証に使用されるRPCインターフェイスです。
Windows 2000バックアップ・ドメイン・コントローラより前のOSでユーザー、アカウント、データベースのレプリケーション（ドメインのメンバーからドメインコントローラーへのドメインの関係、ドメインのドメインコントローラー間の関係、およびドメイン間のドメインコントローラー間の関係維持）の関係性を管理する機能です。

Netlogon セキュア チャネルとは

Active Directory ドメインに参加しているデバイスは、ドメインコントローラー との間の通信を保護するセキュア チャネルを使用します。認証資格情報などは、セキュアチャネルによって暗号化され、ローカル内部において、安全な状態でネットワークを経由してやりとりされます。セキュア チャネルは下図に説明されている通り、クライアントごとに個別に作成されます。

ドメインコントローラー とクライアントは互いに、セキュア チャネルを確立るべく「コンピューター アカウント パスワード」を所持しています。このパスワードは、ドメインコントローラ上においてコンピューター アカウントの属性値に、クライアント上では LSA シークレットと呼ばれる領域に格納されています。

クライアント コンピューターの起動後、ログイン時にコンピューターアカウントのパスワードを用いて資格情報を生成し、ドメインコントローラ にコンピューター認証要求します。認証に成功すると、認証処理の中で生成されたセッション・キーを使用しクライアントと DC の間にセキュア チャネルが確立されます。

2020年8月のWindows Update適用すべし

さて、今回のNetlogonの脆弱性において、Microsoft 社は、2段階の解決を提示しています。
まず脆弱性の対象は、以下の通りです。

対象

ドメイン コントローラ

• フォレスト内すべてのドメインコントローラ (RODC 含む)
• Windows環境で構築されたドメインコントローラ

メンバーサーバー、ドメイン クライアント

• サポート対象内の Windows は、既定で Secure RPCを利用可能
  追加の作業はないです。
  ドメインコントローラが Secure RPC を利用できれば（更新プログラムを適用すれば）、ドメイン参加しているクライアントも自動的に Secure RPC を利用しますが、サポート対象外の Windows を使用している場合、Secure RPCを利用できません。アップグレードしてください。
• Windows 以外は、Netlogon 実装が Secure RPC に対応するよう更新する必要があります。詳細は、OS提供元に確認します

1段階目

まず、1段階目は2020年8月のWindows Updateをフォレスト内のすべてのドメインコントローラにて行います。Windows Updateについては、こちらを参考にしてください。
この更新プログラムを適用することで、Windows デバイスでのみ、Netlogon プロトコルへ変更を加え、非準拠のデバイスとの通信のイベントをログに記録し、ドメインに参加しているすべてのデバイスの保護を有効にする機能を追加します。

1.5段階目（任意）

ドメインコントローラにてレジストリを利用することで、すべてのデバイスで保護された通信を行うことが可能です。これはあくまで、2段階目のテスト段階なので、必須ではありません。利用感を確かめるための操作です。
2段階目（2021年2月のWindows Update）で、本設定値は強制的に適用されるので、ご安心ください。

レジストリ サブキー：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
名前：FullSecureChannelProtection
値のデータ：1

2段階目

2021年2月9日のWindows Updateにて、すべての通信に対して、1.5段階の設定値が適用され、保護された通信になります。

更新履歴

2020年9月1日　初版作成
2020年9月17日 追記

参考URL

• CVE-2020-1472 | Netlogon の特権の昇格の脆弱性
  https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1472
• [MS-NRPC]: Netlogon Remote Protocol
  https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-nrpc/ff8f970f-3e37-40f7-bd4b-af7336e4792f
• ドメインにログオンできない ～ セキュア チャネルの破損 ～
  https://social.technet.microsoft.com/Forums/office/ja-JP/88efe577-fff1-4d9c-8618-bf26ac18a941/12489125131245212531123951252512464124581253112391123651239412?forum=Wcsupportja
• CVE-2020-1472 に関連する Netlogon セキュア チャネル接続の変更を管理する方法
  https://support.microsoft.com/ja-jp/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc#:~:text=Netlogon%20%E3%83%AA%E3%83%A2%E3%83%BC%E3%83%88%20%E3%83%97%E3%83%AD%E3%83%88%E3%82%B3%E3%83%AB%20(%20MS%2DNRPC,%E3%81%95%E3%82%8C%E3%82%8BRPC%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%95%E3%82%A7%E3%82%A4%E3%82%B9%E3%81%A7%E3%81%99%E3%80%82&text=DC%20%E3%81%AFNetlogon%20%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2%20%E3%83%81%E3%83%A3%E3%83%8D%E3%83%AB,%E6%9B%B4%E6%96%B0%E3%81%99%E3%82%8B%E5%BF%85%E8%A6%81%E3%81%8C%E3%81%82%E3%82%8A%E3%81%BE%E3%81%99%E3%80%82
• [AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要
  https://msrc-blog.microsoft.com/2020/09/14/20200915_netlogon/