[ホーム] > [サイバー攻撃大辞典 トップ] > [Zerologon]


作成日:2020/09/25

Zerologon

Zerologonの説明

Zerologonは Windows Active Directory のドメインコントローラを狙う攻撃のこと。
認証情報なしでドメインの管理者のパスワードを取得するとても深刻度が高い脆弱性で即時の対応が必要となる。

"ドメインコントローラは十分セキュアな場所に存在するので問題ない"ということは決してない。ゼロトラストの概念にもあるが今日ではマルウェアが組織内の奥深くに侵入し C&Cサーバの指令を受けて動作する。
よってC&Cサーバの指令よりドメインコントローラの特権を入手し重要な情報を盗み出すことも考えられる。Windows Active Directory ドメインの管理者は即座の対応が必要となる。

Zerologon は攻撃の途中で 0 パディングしたデータをADに送信することから名前付けされたと思われる。

Windows Active Directory 環境ではドメインコントローラとドメインに属するPCは Netlogon プロトコルにより通信を行う。
このプロトコルの脆弱性を狙い攻撃を行う。実際の攻撃手法がPocとして公開されており、また実際に攻撃例が見つかっている。

対策


・最新パッチを適用する。適用するまでオフラインにする。

・さらにMicrosoft から提供されているガイダンスに従う。(Netlogonチャネル保護)
How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472
https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

・各セキュリティ関連企業が仮想パッチを提供している場合あり。


CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472






[ホーム] > [サイバー攻撃大辞典 トップ] > [Zerologon]


本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2015 - 2020