United States Computer Emergency Readiness Team (US-CERT)は10月29日(米国時間)、「Microsoft Warns of Continued Exploitation of CVE-2020-1472|CISA」において、MicrosoftがWindows Serverの脆弱性「CVE-2020-1472」を悪用した攻撃が続いていることを警告したと伝えている。CVE-2020-1472は2020年8月に報告されたNetlogonプロトコルにおける特権昇格の脆弱性で、「Zerologin」とも呼ばれている。

Zerologinは、悪用されると攻撃者によってネットワーク上のデバイスで悪意をもって細工されたアプリケーションを実行される危険性がある。極めて影響範囲が大きい。また公表時点で、既に実際の攻撃が確認されていたゼロデイ脆弱性だったため、MicrosoftやCybersecurity and Infrastructure Security Agency(CISA)をはじめとするセキュリティの専門機関は強い警戒を呼びかけていた。

Microsoftはこの脆弱性に対応するために2段階の施策を実施しており、その第1段階として2020年8月11日に大元の問題に対処する更新プログラムをリリースしている。しかし、9月に入って攻撃に使用可能な概念実証コードが公開されたことで、対策を行っていないシステムを対象として継続的な攻撃が行われる危険性が警告されていた。

今回、Microsoftではその後の最新動向として、Zerologinを悪用した継続的な活動について報告を受けたことを公表した。それに加えて、対策方法を明確にするために8月に公開したガイダンスのFAQを更新したという。

  • Attacks exploiting Netlogon vulnerability (CVE-2020-1472)

    Attacks exploiting Netlogon vulnerability (CVE-2020-1472)

CISAでは、Microsoftからの報告を受けて、システムの管理者に対してすべてのドメインコントローラーにすぐにパッチを適用するように促している。加えて、今後数週間および数カ月以内に、2021年2月に行われる予定の第2段目の対策に備えて、Microsoftのガイダンスに記載されている後続のアクションを実行する必要があると伝えている。