平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。
Microsoft Windows Server にて脆弱性が報告されました。脆弱性情報と対応に関して下記の通り報告させて頂きます。
Microsoft Windows Netlogon Remote Protocol (MS-NRPC) に権限昇格の脆弱性
概要
Microsoft Windows Netlogon Remote Protocol (MS-NRPC) には、AES-CFB8 モードの安全でない
初期ベクターの使用に起因する権限昇格の脆弱性があります。
影響を受けるシステム
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
- 詳細は、開発者が提供する情報をご確認ください。
詳細情報
Microsoft Windows Netlogon Remote Protocol (MS-NRPC) は、Active Directory のユーザーおよびコンピュータのアカウント認証を提供する、中心的な認証コンポーネントです。MS-NRPC は、コンピュータのアカウントを認証する際、AES-CFB8 モードの初期ベクターに0を使用しています。
クライアントのチャレンジおよび ClientCredential パラメータにすべて0を使用することで、攻撃者は256分の1の確率でドメインに参加しているコンピュータに必要な認証を通過することができます。ドメインコントローラーを詐称することで、攻撃者はコンピュータの Active Directoryパスワードを変更し、ドメイン管理者権限を取得することが可能になります。
想定される影響
遠隔の第三者によって、ドメインに参加しているコンピュータ (ドメインコントローラーを含む) を詐称されることで、結果として、ドメインコントローラーに参加する Active Directory コンピュータアカウントに空のパスワードを設定され、サービス運用妨害 (DoS) 攻撃をされたり、ドメイン管理者権限を窃取されたりする可能性があります。
対策方法
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性に対するアップデートは Windows 以外の製品においても実装されている Netlogon プロトコルに関する修正であることから、Windows 以外の製品の Netlogon 実装への互換性を考慮し、マイクロソフトは本脆弱性への対処を 2 段階に分けて実施する予定とのことです。
2020年8月のアップデートには、Netlogon セキュアチャネル接続時に安全な RPC を要求するオプション設定が含まれています。
安全な RPC を要求するための変更は、当該脆弱性から完全な保護を受けるために必要です。
本アップデートを適用した後、安全な RPC を強制するモード (DC 強制モード) を有効にすると、ドメインコントローラーの動作が変更され、安全な MS-NRPC を使用した Netlogon セキュアチャネル接続を要求するようになります。なお、2021年2月9日以降、DC 強制モードは設定に関わらずすべてのドメインコントローラーで有効になります。
備考
最終更新日 2020.09.23