t

【重要】Microsoft Windows Netlogon Remote Protocol (MS-NRPC) に権限昇格の脆弱性

Microsoft Windows Server

平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。

Microsoft Windows Server にて脆弱性が報告されました。脆弱性情報と対応に関して下記の通り報告させて頂きます。

Microsoft Windows Netlogon Remote Protocol (MS-NRPC) に権限昇格の脆弱性

概要

Microsoft Windows Netlogon Remote Protocol (MS-NRPC) には、AES-CFB8 モードの安全でない
初期ベクターの使用に起因する権限昇格の脆弱性があります。

影響を受けるシステム

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)
  • 詳細は、開発者が提供する情報をご確認ください。

詳細情報

Microsoft Windows Netlogon Remote Protocol (MS-NRPC) は、Active Directory のユーザーおよびコンピュータのアカウント認証を提供する、中心的な認証コンポーネントです。MS-NRPC は、コンピュータのアカウントを認証する際、AES-CFB8 モードの初期ベクターに0を使用しています。

クライアントのチャレンジおよび ClientCredential パラメータにすべて0を使用することで、攻撃者は256分の1の確率でドメインに参加しているコンピュータに必要な認証を通過することができます。ドメインコントローラーを詐称することで、攻撃者はコンピュータの Active Directoryパスワードを変更し、ドメイン管理者権限を取得することが可能になります。

想定される影響

遠隔の第三者によって、ドメインに参加しているコンピュータ (ドメインコントローラーを含む) を詐称されることで、結果として、ドメインコントローラーに参加する Active Directory コンピュータアカウントに空のパスワードを設定され、サービス運用妨害 (DoS) 攻撃をされたり、ドメイン管理者権限を窃取されたりする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

本脆弱性に対するアップデートは Windows 以外の製品においても実装されている Netlogon プロトコルに関する修正であることから、Windows 以外の製品の Netlogon 実装への互換性を考慮し、マイクロソフトは本脆弱性への対処を 2 段階に分けて実施する予定とのことです。

2020年8月のアップデートには、Netlogon セキュアチャネル接続時に安全な RPC を要求するオプション設定が含まれています。
安全な RPC を要求するための変更は、当該脆弱性から完全な保護を受けるために必要です。
本アップデートを適用した後、安全な RPC を強制するモード (DC 強制モード) を有効にすると、ドメインコントローラーの動作が変更され、安全な MS-NRPC を使用した Netlogon セキュアチャネル接続を要求するようになります。なお、2021年2月9日以降、DC 強制モードは設定に関わらずすべてのドメインコントローラーで有効になります。

備考

お電話でのご相談・お問い合わせはこちら

お電話でのご相談・お問い合わせはこちら 03-6743-1100 価格や仕様、サービスの詳細などのお問合せから、クラウド導入についてのわからないことなどまで。

価格・仕様などサービス詳細のお問い合わせや、クラウド導入の分からないことなど、お気軽にご連絡ください。

フォームでのお問い合わせ(無料)