AWS導入支援・クラウド運用代行 スカイアーチネットワークス

【重要】Microsoft Windows Netlogon Remote Protocol (MS-NRPC) に権限昇格の脆弱性

平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。

Microsoft Windows Server にて脆弱性が報告されました。脆弱性情報と対応に関して下記の通り報告させて頂きます。

Microsoft Windows Netlogon Remote Protocol (MS-NRPC) に権限昇格の脆弱性

概要

Microsoft Windows Netlogon Remote Protocol (MS-NRPC) には、AES-CFB8 モードの安全でない
初期ベクターの使用に起因する権限昇格の脆弱性があります。

影響を受けるシステム

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)
  • 詳細は、開発者が提供する情報をご確認ください。

詳細情報

Microsoft Windows Netlogon Remote Protocol (MS-NRPC) は、Active Directory のユーザーおよびコンピュータのアカウント認証を提供する、中心的な認証コンポーネントです。MS-NRPC は、コンピュータのアカウントを認証する際、AES-CFB8 モードの初期ベクターに0を使用しています。

クライアントのチャレンジおよび ClientCredential パラメータにすべて0を使用することで、攻撃者は256分の1の確率でドメインに参加しているコンピュータに必要な認証を通過することができます。ドメインコントローラーを詐称することで、攻撃者はコンピュータの Active Directoryパスワードを変更し、ドメイン管理者権限を取得することが可能になります。

想定される影響

遠隔の第三者によって、ドメインに参加しているコンピュータ (ドメインコントローラーを含む) を詐称されることで、結果として、ドメインコントローラーに参加する Active Directory コンピュータアカウントに空のパスワードを設定され、サービス運用妨害 (DoS) 攻撃をされたり、ドメイン管理者権限を窃取されたりする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

本脆弱性に対するアップデートは Windows 以外の製品においても実装されている Netlogon プロトコルに関する修正であることから、Windows 以外の製品の Netlogon 実装への互換性を考慮し、マイクロソフトは本脆弱性への対処を 2 段階に分けて実施する予定とのことです。

2020年8月のアップデートには、Netlogon セキュアチャネル接続時に安全な RPC を要求するオプション設定が含まれています。
安全な RPC を要求するための変更は、当該脆弱性から完全な保護を受けるために必要です。
本アップデートを適用した後、安全な RPC を強制するモード (DC 強制モード) を有効にすると、ドメインコントローラーの動作が変更され、安全な MS-NRPC を使用した Netlogon セキュアチャネル接続を要求するようになります。なお、2021年2月9日以降、DC 強制モードは設定に関わらずすべてのドメインコントローラーで有効になります。

備考

最終更新日 2020.09.23

お気軽にご相談ください

03-6743-1100

平日10:00 - 18:00 ※祝日は除く

スカイアーチネットワークスは、AWS アドバンストティアサービスパートナーです

  • AWS アドバンストティアサービスパートナー
  • AWS レベル1 MSSP コンピテンシー
  • AWS MSPパートナープログラム
  • AWS Well-Architected パートナープログラム
  • AWS 公共部門パートナープログラム
  • AWS ソリューションプロバイダー
  • AWS 公共部門ソリューションプロバイダー
  • AWS トレーニングパートナー
  • AWS サービスデリバリープログラム Amazon DynamoDB
  • AWS サービスデリバリープログラム Amazon CloudFront
  • APN Immersion Days
  • aws 400 CERTIFIED
  • 2023 Japan AWS Ambassadors
  • 2023 Japan Top Engineers
  • 2023 Japan All Certifications Engineers