マイクロソフトは、WindowsZerologonの欠陥を使用して進行中の攻撃について警告します
Microsoftの脅威インテリジェンスセンターは、10/10定格の重大なCVE-2020-1472セキュリティ欠陥を悪用することによって引き起こされる可能性のある攻撃について警告しています。
同社によれば、過去2週間に、進行中の攻撃が複数回観察されたという。イランが支援するMuddyWaterサイバースパイグループは、ZeroLogonエクスプロイトを使用してこのような攻撃者を立ち上げました。
「MSTICは、過去2週間にわたって、アクティブなキャンペーンでCVE-2020-1472エクスプロイト(ZeroLogon)を使用した国民国家アクターMERCURYによる活動を観察しました。パッチを適用することを強くお勧めします。」
同様の警告が先月9月23日に同社によって発行され、公共のZeroLogonエクスプロイトを使用した攻撃から防御するために火曜日の2020年8月のパッチの一部としてセキュリティアップデートを適用するようIT管理者に促したことが観察されました。
ZeroLogonは、攻撃者がドメイン管理者に特権を昇格させるために使用する可能性のある重大なセキュリティ上の欠陥です。悪用に成功すると、ドメインを完全に制御し、ユーザーのパスワードを変更し、コマンドを実行できます。
1週間後、Cisco Talosはまた、「Microsoftの脆弱性CVE-2020-1472に対する悪用の試みの急増、Netlogonの特権昇格のバグ」について警告しました。
影響を受ける一部のデバイスで認証の問題が発生する可能性があるため、MicrosoftはZeroLogonの修正を2段階で展開しています。
8月11日にリリースされた最初のコントローラーは、Windows Active Directoryドメインコントローラーがセキュリティで保護されていないRPC通信を使用するのをブロックし、RPCチャネルをセキュリティで保護していないWindows以外のデバイスからの認証要求をログに記録して、管理者が影響を受けるデバイスを修正または交換できるようにします。
マイクロソフトは、管理者が許可しない限り、すべてのネットワークデバイスが安全なRPCを使用することを要求する施行モードを有効にするために、2021年2月のパッチ火曜日の更新から始まる別の更新をリリースします。
同社は、9月29日にZeroLogonエクスプロイトを使用して進行中の攻撃からデバイスを保護する方法に関する手順を明確にしました。当時、マイクロソフトは更新計画の概要を説明しました。
- ドメインコントローラーを、2020年8月11日以降にリリースされた更新に更新します。
- イベントログを監視して、接続が脆弱なデバイスを見つけます
- 非準拠デバイスに対処し、
- 施行モードを有効にして、CVE-2020-1472に対処します