United States Computer Emergency Readiness Team (US-CERT)は9月14日(米国時間)、「Exploit for Netlogon Remote Protocol Vulnerability, CVE-2020-1472|CISA」において、WindowsにおけるNetlogonプロトコルの特権昇格の脆弱性に対する攻撃コードが公開されているとして、システム管理者およびユーザーに注意を呼びかけた。

対象の脆弱性に関する情報はMicrosoftによる次のページにまとめられている。

  • CVE-2020-1472|Netlogon Elevation of Privilege Vulnerability

    CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability

この脆弱性はWindows ServerにおけるNetlogon Remoteプロトコル(MS-NRPC)の実装に存在するもので、MS-NRPCを使用してドメインコントローラと脆弱なNetlogonセキュアチャネル接続を行った場合に、権限昇格が行われる可能性があるという。この脆弱性を悪用すると、攻撃者はネットワーク上のデバイスで細工されたアプリケーションを実行することが可能になる。この脆弱性は「Zerologon」と呼ばれている。

Microsoftは2020年8月11日にこの問題に対処する更新プログラムリリースしているが、今回攻撃コードが公開されたことで、「更新プログラムが適用されていないシステムが、攻撃者にとって魅力的なターゲットになる」として、Cybersecurity and Infrastructure Security Agency(CISA)が警鐘を鳴らしている。

更新プログラムの深刻度は緊急で、CVSS v3のスコアは最高値の10が付けられている。当初の悪用可能性の評価は「悪用される可能性は低い」とされていたが、攻撃コードが出回ったことで、対策を行っていないシステムの危険度は増したと考えるべきだろう。

なお、Microsoftはこの脆弱性に対応するために2段階の施策を用意しており、8月11日の更新プログラムのリリースはその第1段階に当たる。第2段階の対策は2021年2月9日にリリースされる予定。対処法の詳細は次のページを参照のこと。