MS、Netlogonプロトコル実装の特権昇格脆弱性“ZeroLogon”に対するガイダンスを管理者向けに公開

公式ブログ“Microsoft Security Response Center”

　日本マイクロソフト（株）は9月15日、公式ブログ“Microsoft Security Response Center”で、「Active Directory」で使われている「Netlogon」プロトコル実装における特権昇格の脆弱性（CVE-2020-1472）に関する対応ガイダンスを公表した。“ZeroLogon”と名付けられた本脆弱性の修正による影響はWindowsデバイスにとどまらないため、互換性を考慮して対策を2段階に分けて実施するという。

　“ZeroLogon”は、特別に細工されたアプリケーションなどを介してドメインコントローラー（DC）に対し「Netlogon」リモートプロトコル（MS-NRPC）による“脆弱な”セキュアチャネル接続を確立した場合、本来の権限では許されていない操作が行えてしまうというもの。米国時間8月11日にリリースされた月例のセキュリティアップデートで修正済みとなっている。

　しかし、脆弱性からシステムを保護するためにはドメイン全体で“安全な RPC（Secure RPC）”を利用する必要がある。ドメインに接続するDCや端末がすべてWindowsベースで、最新のパッチが適用されていれば問題はないが、Windows以外のマシンで“安全な RPC”を利用しない場合は互換性に問題が生じる恐れがある。

　そこで同社は2つのフェイズに分けて段階的に対策を実施する。

　最初の初期展開フェイズはすでに開始されており、8月のパッチで脆弱性への対策を行う一方、非Windowsマシンによる“安全な RPC”を使用しない“脆弱な”接続をブロックせず、イベントログへ記録するにとどめる（ドメインやDCはブロック）。もしイベントログに警告があれば、管理者はできるだけ早く対応するべきだろう。

初期展開フェイズ

　次の、強制フェイズでは非Windowsマシンでも“安全な RPC”接続が必須となり、対応しないデバイスはブロックされる。このフェイズは今のところ2021年2月9日より開始される予定だ。

強制フェイズ

　なお、強制フェイズを待たずにドメイン内で“安全な RPC”接続を必須とすることも可能。その場合は所定のレジストリキーを編集すればよい（HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Service¥Netlogon¥Parameters¥FullSecureChannelProtection=1）。

　本脆弱性は関係各所との協調の上に公開されたもので、いわゆる“ゼロデイ”脆弱性ではない。脆弱性修正によるビジネスへの影響を減らすため、タイミングを見計らった公表が行われている。しかし、脆弱性を公開した以上、これを悪用した攻撃の可能性は生じる。公開されたパッチはできるだけ早く適用し、可能であれば強制フェイズを待たず、早期に推奨される対策を完了させたい。