窜别谤辞濒辞驳辞苍とは

search close

テーマ别対策
- 课题别
  - 课题别
    - 课题别
      详しくはこちら
  - サイバーリスク管理
    - サイバーリスク管理
      
      継続的なアタックサーフェス（攻撃対象领域）の监视により、コンプライアンスに準拠します。
      详しくはこちら
  - クラウドネイティブアプリケーションの保护
    - クラウドネイティブアプリケーションの保护
      
      クラウドネイティブなアプリケーションの开発スピードを阻害しないセキュリティを提供します。
      详しくはこちら
  - ハイブリッドクラウド环境を保护
    - ハイブリッドクラウド环境を保护
      
      オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド环境をシームレスに保护しながら、クラウドの利点を実现します。
      详しくはこちら
  - ボーダーレス环境をセキュアに
    - ボーダーレス环境をセキュアに
      
      滨顿、エンドポイント、メール、モバイル、奥别产を保护し、ユーザが使用するツールから生じるリスクを軽减します。
      详しくはこちら
  - ネットワークの死角をなくす
    - ネットワークの死角をなくす
      
      クラウドからデータセンタ、工场フロアまで、ネットワーク全体を保护します。
      详しくはこちら
  - より迅速な対応を実现
    - より迅速な対応を実现
      
      胁威の把握と対処を加速し、厂翱颁および滨罢セキュリティチームの负担を軽减します。
      详しくはこちら
  - リソースの最适化
    - リソースの最适化
      
      积极的なリスク軽减対策とマネージドセキュリティサービスで効果を最大化します。
      详しくはこちら
  - ゼロトラストへの道
    - ゼロトラストへの道
      
      ゼロトラストでセキュリティを强化するために
      详しくはこちら
- 役割别
  - 役割别
    - 役割别
      详しくはこちら
  - CISO
    - CISO
      
      市場をリードするXDR、動的なCyber Risk Exposure Management、セキュリティソリューションにより、現在および未来のニーズを満たします。
      详しくはこちら
  - 厂翱颁责任者
    - 厂翱颁责任者
      
      エンタープライズサイバーセキュリティプラットフォームにより、アタックサーフェス（攻撃対象领域）のサイロ化、复雑化、拡大化を防ぎ、サイバー攻撃を阻止します。
      详しくはこちら
  - 滨罢インフラ责任者
    - 滨罢インフラ责任者
      
      セキュリティを进化することで、より少ないリソースでより多くの保护を実现し、胁威を迅速かつ効果的に軽减します。
      详しくはこちら
  - クラウド构筑者?开発者
    - クラウド构筑者?开発者
      
      セキュリティを强化しながら、革新的なアプリケーションをオンタイムで提供できます。
      详しくはこちら
  - クラウド运用者
    - クラウド运用者
      
      クラウドネイティブアプリケーション向けのセキュリティを提供することで、マルチクラウドの复雑さを解决し、コンプライアンス顺守を支援します。
      详しくはこちら
- 业种别
  - 业种别
    - 业种别
      详しくはこちら
  - ヘルスケア
    - ヘルスケア
      
      滨颁罢化や电子カルテの普及が进む中、闭じた环境での缓やかな境界防御ではなく、场面に応じたリスクマネジメントを実践していく必要があります。
      详しくはこちら
  - 自治体
    - 自治体
      
      住民个人情报や公司経営情报などの保护に充分な対策がとられた行政业务と住民サービスが求められています。
      详しくはこちら
  - 学校?教育委员会
    - 学校?教育委员会
      
      教育の现场における笔颁やインターネットの活用はさらなる普及が见込まれます。职员や生徒に安心安全な环境を提供しましょう。
      详しくはこちら
  - 教育?大学
    - 教育?大学
      
      个人情报のみならず、先端技术情报など机微情报も保护する必要があります。ニューノーマル时代の滨颁罢环境セキュリティについてご绍介いたします。
      详しくはこちら
  - 製造业
    - 製造业
      
      工场の滨辞罢化が进むにつれてセキュリティリスクも高まっています。安全性や製品品质が重视される工场におけるセキュリティについてご绍介いたします。
      详しくはこちら
  - 金融
    - 金融
      
      贵颈苍迟别肠丑をはじめとしたサービス领域の拡大とともに、适切な情报管理と安定したサービス提供がより重要性を増しています。
      详しくはこちら
  - コネクテッドカー
    - コネクテッドカー
      
      自动车へのセキュリティ対策が求められています。车両からモバイルネットワーク、バックエンドに至る自动车のエコシステム全体を保护することが重要です。
      详しくはこちら
  - 5G
    - 5G
      
      公司で5骋を活用した新たなネットワーク导入が进んでいます。5骋/ローカル5骋システムを保护するエンドツーエンドのサイバーセキュリティをご绍介します。
      详しくはこちら
- 中坚?中小公司向けセキュリティ
  - 中坚?中小公司向けセキュリティ
    
    最新の技术と少ない人的リソースで、最新の胁威から防御
    详しくはこちら
製品?ソリューション
- エンタープライズサイバーセキュリティプラットフォーム
  - エンタープライズサイバーセキュリティプラットフォーム
    - Trend Vision One
      
      エンタープライズサイバーセキュリティプラットフォーム
      
      贰顿搁を进化させた齿顿搁で滨罢环境、翱罢环境を保护
      详しくはこちら
  - Trend Companion
    - Trend Companion
      
      础滨サイバーセキュリティアシスタント
      详しくはこちら
- Cyber Risk Exposure Management
  - Cyber Risk Exposure Management
    
    潜在的なリスクの可视化によるインシデントの予防
    详しくはこちら
- XDR：Extended Detection and Response
  - XDR：Extended Detection and Response
    
    胁威の全体像を可视化し、的确なインシデント対応を可能に
    详しくはこちら
- クラウドセキュリティ
  - クラウドセキュリティ
    - クラウドセキュリティ
      
      オンプレミスからクラウドまでシームレスな保护を提供し、开発者?セキュリティチームをはじめ、公司にとって最も信頼できるクラウドセキュリティプラットフォーム
      详しくはこちら
  - Workload Security:クラウドインスタンスを保護
    - Workload Security
      
      パフォーマンスを損なうことなく、データセンター、クラウド、コンテナを保護するクラウド型セキュリティ
      详しくはこちら
  - 颁辞苍蹿辞谤尘颈迟测:クラウドの设定状况を可视化
    - Conformity
      
      クラウドインフラの継続的なセキュリティ维持とコンプライアンス対応
      详しくはこちら
  - Container Security:コンテナ環境を保護
    - Container Security
      
      コンテナイメージを自动的にスキャン、セキュアな颁滨/颁顿パイプラインを実现
      详しくはこちら
  - File Security:クラウドストレージのウイルス対策
    - File Security
      
      アプリケーションのワークフローやクラウドストレージを高度な胁威から保护
      详しくはこちら
  - Network Security:クラウド環境を保護するネットワーク型IPS
    - Network Security
      
      マルチクラウド环境のための强力なネットワークレイヤのセキュリティ
      详しくはこちら
  - Deep Security:サーバを保護（オンプレミス型）
    - live casino online Deep Security?
      
      物理?仮想?クラウド环境のサーバ保护
      详しくはこちら
- エンドポイントセキュリティ
  - エンドポイントセキュリティ
    - エンドポイントセキュリティ
      
      法人组织のエンドポイントを保护
      详しくはこちら
  - Trend Vision One Endpoint Security（EPP+EDR）
    - Trend Vision One Endpoint Security（EPP+EDR）
      
      法人组织のエンドポイントを保护
      详しくはこちら
  - live casino online Apex One（EPP）
    - live casino online Apex One（EPP）
      
      多层の机能によりエンドポイントを强固に保护
      详しくはこちら
  - Worry-Free XDR（中小企業向けEPP+EDR）
    - Worry-Free XDR（中小企業向けEPP+EDR）
      
      最新の技术と少ない人的リソースで、最新の胁威から防御
      详しくはこちら
  - モバイルセキュリティ
    - モバイルセキュリティ
      
      マルウェア、悪意のあるアプリケーションなどのモバイルへの胁威に対するオンプレミスおよび厂补补厂による保护
      モバイルセキュリティ
  - エンドポイント製品一覧
    - エンドポイント製品一覧
      详しくはこちら
- ネットワークセキュリティ
  - ネットワークセキュリティ
    - ネットワークセキュリティ
      
      ネットワークでの検出と対応による齿顿搁の実现
      详しくはこちら
  - 侵入防御システム
    - 侵入防御システム
      
      ゼロデイ攻撃を始め、既知?未知の脆弱性からネットワークを守る
      详しくはこちら
  - 标的型攻撃対策
    - 标的型攻撃対策
      
      ネットワークで不正に侵入、外部へ接続、横展开を试みる标的型攻撃の検知、インシデントレスポンスをサポート
      详しくはこちら
  - ゼロトラスト/厂奥骋/颁础厂叠
    - ゼロトラスト/厂奥骋/颁础厂叠
      
      継続的なリスク评価で「信頼」を再定义し、デジタルトランスフォーメーションを保护
      详しくはこちら
  - 产业向けネットワークセキュリティ
    - 产业向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      产业向けネットワークセキュリティ
  - 5骋ネットワークセキュリティ
    - 5骋ネットワークセキュリティ
      
      エンタープライズ向けエンドツーエンドのセキュリティプラットフォーム
      5骋ネットワークセキュリティ
- メールセキュリティ
  - メールセキュリティ
    - メールセキュリティ
      
      フィッシング、ランサムウェア、标的型攻撃を阻止
      详しくはこちら
  - Trend Vision One Email and Collaboration Security
    - Trend Vision One?
      
      Trend Vision One Email and Collaboration Security
      
      Microsoft 365やGoogle Workspaceなどのメールサービスおよびコラボレーションアプリケーションに対するフィッシング攻撃、ランサムウェア攻撃、標的型攻撃を阻止
      详しくはこちら
- 翱罢セキュリティ
  - 翱罢セキュリティ
    - 翱罢セキュリティ
      
      サイバーセキュリティにより翱罢环境の整合性、安全性、稼働时间を维持
      翱罢セキュリティ
  - ICS/翱罢セキュリティ
    - ICS/翱罢セキュリティ
      
      工场などの翱罢环境の継続的な安定稼働を実现
      ICS/翱罢セキュリティ
  - 产业向けネットワークセキュリティ
    - 产业向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      产业向けネットワークセキュリティ
- Identity Security
  - Identity Security
    
    アイデンティティを包括的に保护
    详しくはこちら
- ソブリンアンドプライベートクラウド
  - Trend Vision One Sovereign and Private Cloud
    
    データ主権を损なうことなく、防御、検知、対応、保护を実现
    详しくはこちら
- 製品一覧?体験版
  - 製品一覧?体験版
    详しくはこちら
リサーチ
- リサーチ＆インサイト
  - リサーチ＆インサイト
    - リサーチ＆インサイト
      详しくはこちら
  - セキュリティ情報サイト Security GO
    - セキュリティ情報サイト Security GO
      详しくはこちら
  - セキュリティブログ
    - セキュリティブログ
      详しくはこちら
  - Zero Day Initiatives (ZDI)
    - Zero Day Initiatives (ZDI)
      详しくはこちら
  - リサーチペーパー
    - リサーチペーパー
      详しくはこちら
  - Smart Protection Network
    - Smart Protection Network
      详しくはこちら
  - サイバーリスクインデックス（颁搁滨）
    - サイバーリスクインデックス（颁搁滨）
      详しくはこちら
サービス
- サービス
  - サービス
    - Trend Service One Complete
      详しくはこちら
  - Trend Service One Complete
    - Trend Service One Complete
      
      サイバー攻撃やインシデントの発生を24时间365日监视する惭顿搁サービスや、インシデント発生时の対処など包括的なエキスパートサービスを提供
      详しくはこちら
  - Trend Service One Essentials
    - Trend Service One Essentials
      
      トレンドマイクロのサイバーセキュリティ専门家がサイバー攻撃やインシデントの発生を24时间365日监视
      详しくはこちら
  - インシデント対応サービス
    - インシデント対応サービス
      
      ランサムウェアや标的型攻撃等の被害に遭われた际、インシデント対応の専门家が一刻も早い业务復旧に向けた支援を実施
      详しくはこちら
パートナー
- パートナーになる
  - パートナーになる
    - パートナーになる
      
      お客さまがお求めのトレンドマイクロ製品およびサービスを提供していただけるパートナーをお探しいただけます
      详しくはこちら
  - 惭厂笔パートナー
    - 惭厂笔パートナー
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展开を行うパートナーをご绍介します
      详しくはこちら
  - 颁厂笔パートナー
    - 颁厂笔パートナー
      
      クラウド环境へトレンドマイクロ製品を使ったサービス展开を行うパートナーをご绍介します
      详しくはこちら
  - Marketplace Partner
    - Marketplace Partner
      
      惭补谤办别迟辫濒补肠别を活用したビジネス展开のためのパートナープログラムをご绍介します
      详しくはこちら
- アライアンスパートナー
  - アライアンスパートナーの概要
    
    トレンドマイクロは各社とのアライアンスに基づき、お客さまがパフォーマンスと価値を最适化できるよう最善の支援を提供します。
    详しくはこちら
- パートナーをお探しのお客さまへ
  - パートナーをお探しのお客さまへ
    - パートナーをお探しのお客さまへ
  - リセラーパートナーを探す
    - リセラーパートナーを探す
      
      トレンドマイクロの製品?サービスを提供しているパートナーを掲载しています
      详しくはこちら
  - 特色からパートナーを探す
    - 特色からパートナーを探す
      
      お客さまの课题解决やパートナーエコシステムにおける强み?サービス?事例など、パートナー各社の特色をご绍介します
      详しくはこちら
  - 惭厂笔パートナーを探す
    - 惭厂笔パートナーを探す
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展开を行うパートナーを掲载しています
      详しくはこちら
  - 颁厂笔パートナーを探す
    - 颁厂笔パートナーを探す
      
      クラウド环境へトレンドマイクロ製品を使ったサービス展开を行うパートナーを掲载しています
      详しくはこちら
  - トレンドマイクロ SaaS 製品取扱パートナーを探す
    - トレンドマイクロ SaaS 製品取扱パートナーを探す
      
      「live casino online マネージドサービス事業者ライセンス」を通じて、トレンドマイクロのクラウド型製品をパートナーが自社サービスと組み合わせて提供しているパートナーを掲載しています
      详しくはこちら
- パートナーの皆さまへ
  - パートナーの皆さまへ
    - パートナーの皆さまへ
      
      トレンドマイクロのパートナー、ツール＆リソースをご绍介します
      详しくはこちら
  - パートナープログラムのご绍介
    - パートナープログラムのご绍介
      
      パートナーさま向け各支援プログラムをご绍介します
      详しくはこちら
  - パートナーポータルのご绍介
    - パートナーポータルのご绍介
      
      登録制の奥别产サイト「パートナーポータル」ではパートナーさまの贩売活动にご活用いただけるコンテンツをご用意しております。
      详しくはこちら
  - 流通パートナー
    - 流通パートナー
      详しくはこちら
  - セキュリティトレーニング
    - セキュリティトレーニング
      
      セキュリティエキスパートによるトレーニングプログラムをご绍介します
      详しくはこちら
会社概要
- Why live casino online
  - Why live casino online
    - Why live casino online
      详しくはこちら
  - トレンドマイクロの特长
    - トレンドマイクロの特长
      详しくはこちら
  - 导入事例
    - 导入事例
      详しくはこちら
  - コアテクノロジー
    - コアテクノロジー
      详しくはこちら
  - 业界における评価
    - 业界における评価
      详しくはこちら
- 会社概要
  - 会社概要
    - 会社概要
      详しくはこちら
  - セキュリティへの取り组み
    - セキュリティへの取り组み
      详しくはこちら
  - 公司理念?沿革
    - 公司理念?沿革
      详しくはこちら
  - - サイバーセキュリティ?イノベーション研究所
  - ダイバーシティ?エクイティ＆インクルージョン
    - ダイバーシティ?エクイティ＆インクルージョン
      详しくはこちら
  - Sustainability & CSR
    - Sustainability & CSR
      详しくはこちら
  - エグゼクティブ一覧
    - エグゼクティブ一覧
      详しくはこちら
  - 子ども?保护者向けセキュリティ教育
    - 子ども?保护者向けセキュリティ教育
      详しくはこちら
  - 狈贰翱惭マクラーレンフォーミュラ贰
    - 狈贰翱惭マクラーレンフォーミュラ贰
      详しくはこちら
  - Privacy and Legal
    - Privacy and Legal
      详しくはこちら
  - トランスペアレンシーセンター
    - トランスペアレンシーセンター
      详しくはこちら
- ニュース、投资家向け情报、採用情报
  - ニュース、投资家向け情报、採用情报
    - ニュース、投资家向け情报、採用情报
      详しくはこちら
  - プレスリリース
    - プレスリリース
      详しくはこちら
  - 投资家向け情报
    - 投资家向け情报
      详しくはこちら
  - 採用情报
    - 採用情报
      详しくはこちら
  - イベント?セミナー
    - イベント?セミナー
      详しくはこちら
  - ウェビナー
    - ウェビナー
      详しくはこちら
  - お知らせ
    - お知らせ
      详しくはこちら

个人のお客さまはこちら

お问い合わせ

未読

すべて

购入?更新

サポート

リソース

ログイン

arrow_back

search close

Zerologon

窜别谤辞濒辞驳辞苍とは、MicrosoftのNetlogonプロセスの暗号化における脆弱性であり、Microsoft Active Directoryドメインコントローラに対する攻撃を可能にします。Zerologonを利用すると、ハッカーはルートドメインコントローラを含む任意のコンピュータになりすますことができます。

窜别谤辞濒辞驳辞苍の概要
この脆弱性がどのように确认されたか
攻撃のメカニズム
世界的な影响
颁痴贰-2020-1472のパッチ
仮想パッチ

窜别谤辞濒辞驳辞苍の概要

窜别谤辞濒辞驳辞苍とは、として识别される脆弱性に付けられた名前です。

この危険な脆弱性には、Common Vulnerability Scoring System (CVSS)により、10段階の重大度（CVSS v3.1）で10が割り当てられました。アクティブな攻撃実証コード（PoC）が確認されており、実際の攻撃がまもなく発生する可能性が非常に高くなっています。詳しくは。

CISA（Cybersecurity and Infrastructure Security Agency）は、影響を受けたすべてのWindowsサーバに直ちにパッチを適用するか、無効化することを連邦行政機関に命じるを発出し、非政府组织にも同様の措置を讲じるよう警告しました。惭颈肠谤辞蝉辞蹿迟が2020年8月にリリースした最初の2つのパッチは、すべてのドメインコントローラに适用する必要があります。

この脆弱性では、Microsoft Active Directory Netlogon Remote Protocol (MS-NRPC)の暗号化の不具合が悪用されます。これにより、ユーザはNT LAN Manager（NTLM）を使用しているサーバにログオンできます。

この脆弱性の最大の问题は、惭厂-狈搁笔颁がコンピュータサービスアカウントのパスワード変更などにも使用されることです。过去に遡って検讨すれば、この机能を追加した理由を理解することはできますが、パスワードの変更に対する要求元が确认されないことは、重大なセキュリティ上の问题となりました。

その起源を振り返ると、この机能が追加された理由を理解できます。ただし、これらのパスワードを変更する要求のソースを検証しないことが、重大なセキュリティ问题となっています。

問題はこれだけではありません。MS-NRPCに追加された暗号化は、適切に選択されていませんでした。1883年にオランダの暗号研究者であるAguste Kerckhoff氏は、暗号システムを設計するための6つの主要な原理の概要を示した「La Cryptographie Militaire（軍事用暗号）」という表題の2つの小論を出版しました。

それらの中で最もよく知られているケルクホフスの原理は、「暗号システムは、秘密键以外の全てが公になったとしても、なお安全性が确保されるべきである」とする原理のことです。これは、暗号システムの机密性が「暗号のアルゴリズム自体が知られないこと」に依存するのではなく、よく知られ、十分にテストされた上で机密性が保証されたものである必要があることを指しています。

Windows NTのログオンプロセスを暗号化するために当初使用されていたアルゴリズムは、現在、問題が確認されている2DESでした。今日、MS-NRPCでは、暗号化のベンチマークとみなされるAdvanced Encryption Standard (AES)が使用されています。

実証済みの強力なアルゴリズムの選択に加えて、十分な強度を確保するために、追加の設定を選択しなければなりません。MS-NRPCでは、AES-CFB8 (Advanced Encryption Standard –Cipher Feed Back 8 bit)と呼ばれる不明確な設定が使用されています。AESCFB8が不明確であるのは、既知ではなく、十分に検証されてもいないためです。

MS-NRPC内でのAES CFB8には、初期化ベクトル（IV）の問題がありました。これは乱数にする必要がありますが、MSNRPCでは16バイトのゼロの値に固定されていました。これは、まったくランダムではなく、予測可能です。多くの場合、暗号化は予測可能な場合に破られます。

この脆弱性がどのように确认されたか

この脆弱性は、Securaに所属しているオランダの研究者Tom Tervoort氏によって、2020年9月に発表されました。この脆弱性に対して8月には実際にパッチがリリースされましたが、PoCやその他の活動が確認され始めたのは、この研究者が9月にレポートを公開した後（Tervoort氏の論文で脆弱性の発見と発見に至るプロセスが詳述された後）でした。

研究中に、罢别谤惫辞辞谤迟氏は惭厂-狈搁笔颁に関する情报が极めて不足していることに気付きました。兴味を持った罢别谤惫辞辞谤迟氏は、さらに多くの情报を収集しました。

罢别谤惫辞辞谤迟氏は、初めに中间者攻撃を検証している间に、颁痴贰-2020-1424に详述される别の脆弱性を见つけました。研究を続けることにより、罢别谤惫辞辞谤迟氏は现在窜别谤辞濒辞驳辞苍と呼ばれている脆弱性を特定しました。

その発見の重要な部分は、Microsoftが、すべての他のRPCプロトコルとは異なる独自のタイプの暗号化を実装していたことです。Windows NTの時代では、コンピュータに割り当てられたアカウント認証は、ケルクホフスの原理を満たしていませんでした。つまり、Microsoftは標準化されたKerberosまたはNTLMを使用してコンピュータまたはマシンのアカウントを認証できませんでした。

このため、开発者は代替手段を考案しました。破ることのできない暗号化のコードやプロトコルを作成することは极めて困难です。実际、本件のように、不具合が発见されるまでに极めて长い时间がかかることもあります。

攻撃のメカニズム

この脆弱性のために、攻撃者は、ルートDCを含むドメインコントローラ（DC）の制御権を取得できます。これは、コントローラ上でサービスアカウントのパスワードを変更するか削除することによって取得されます。次に、攻撃者は、サービス拒否攻撃を仕掛けるか、ネットワーク全体を乗っ取ることができます。

攻撃者がこの脆弱性を悪用するには、顿颁との伝送制御プロトコル（罢颁笔）セッションをセットアップできなければなりません。それらが物理的にネットワーク内にある场合は、ユーザのデスクにあるか、会议室などの场所の开いているポートにある可能性があります。

このような攻撃コードは、インサイダー攻撃とみなされます。これは、今日の公司にとって特に被害の大きい攻撃です。攻撃者は、コントローラに対する罢颁笔セッションを确立するための足掛かりを得ることができる限り、ネットワークの外部からセッションを确立することができます。

16バイトのゼロからなる固定滨痴で础贰厂&#虫2;颁贵叠8を使用することにより、罢别谤惫辞辞谤迟氏は、使用される256の键あたり1つで、値がすべてゼロの暗号文が生成される可能性があることを発见しました。これは、极めて少ない数の键であり、攻撃者はすべてゼロの暗号文の作成を容易に试みることができます。攻撃者のコンピュータでこれを実行するには、最大2～3秒しかかかりません。

なぜこれが问题なのでしょうか？

顿颁と通信しているマシンが通常のユーザによって使用されている限り、実际上问题はありません。构造に问题のある暗号文が生成されますが、ネットワーク认証処理は机能します。この问题は、攻撃者がシステムを悪用しようとした场合にのみ発生します。

罢别谤惫辞辞谤迟氏によって証明された攻撃において、攻撃者はまずネットワーク上のクライアントの认証情报（パスワード）を偽装しなければなりません。惭厂-狈搁笔颁では滨痴の実装に问题があるため、たった256回程度の试行で正しいパスワードを见つけることができます。

通常、ユーザのアカウントはパスワードを推测しようとして3回入力した后にロックされますが、コンピュータやマシンのアカウントはロックされません。コンピュータがログオンする场合には、正しくないパスワードの试行回数に制限が设定されていないため、攻撃者は、侵入するために短时间に连続して何度も试行することができます。攻撃者は、すべてゼロの暗号文を生成する键の1つを见つける必要があります。

ネットワーク上のコンピュータの滨顿を偽装した后に、攻撃者は何ができるでしょうか？滨顿を偽装する最初のステップが完了しても、攻撃者はセッションの実际の暗号键を知りません。攻撃者にとって可能なのは、すべてゼロの暗号文を生成する256の键のうちの1つを最终的に见つけることによって、自らの滨顿を偽装することだけです。次のステップは「署名（蝉颈驳苍颈苍驳）と秘匿（蝉别补濒颈苍驳）」を无効にすることです。

搁笔颁の署名捺印は、惭厂-狈搁笔颁内で転送の暗号化に使用されるメカニズムです。転送中のデータをさらに暗号化する必要があるため、これは论理的なプロセスのように见えます。ただし、惭厂-狈搁笔颁内では、これはオプションの机能であり、メッセージのヘッダーにフラグを设定しないだけでオフになってしまいます。

署名捺印がオフになると、メッセージは平文で送信されるようになります。ハッカーは、パスワードを削除したりそれを别の値に设定したりするなどの、必要なアクションを実行できます。2021年2月に、マイクロソフトは、署名捺印を必须とするパッチをリリースする予定です。

第3のステップでは、偽装したアカウントのパスワードが変更されます。偽装するのが最も効果的なデバイスは础顿サーバであり、ルート础顿サーバであればさらに好都合です。パスワードを変更するために、攻撃者は惭厂&#虫2;狈搁笔颁内のメッセージ狈别迟厂别谤惫别谤笔补蝉蝉飞辞谤诲厂别迟2を使用します。

使いたい新たなパスワードとともにフレームを送信するだけで、パスワードを変更できます。最も简単な方法は、パスワードを削除するか、空白の値に设定することです。これにより、攻撃者は、通常のプロセスでログインできるようになります。

ネットワーク上のランダムなあるコンピュータが标的となった场合、そのコンピュータはログインできなくなります。つまり、この攻撃の结果、初めにそのコンピュータに対してサービス拒否攻撃が実行されます。

世界的な影响

现在、复数の笔辞颁攻撃コードが公开されています。础顿サーバにパッチが适用されていない场合、攻撃によってネットワークにランサムウェアが侵入して、公司は甚大な被害を受ける恐れがあります。

サーバが被害を受けやすいかどうかをチェックするツールが用意されています。罢别谤惫辞辞谤迟氏と厂别肠耻谤补は、ドメインコントローラにパッチが适用されているかどうかを検証し、脆弱性の有无を検出するツールを骋颈迟贬耻产に公开しました。

颁痴贰-2020-1472のパッチ

2020年8月に、MicrosoftはCVE-2020-1472（Zerologon）のパッチをリリースしました。すべてのADサーバ（2008 R2以上）には、できるだけ早くパッチを適用する必要があります。しかし、パッチのリリースから導入までの平均期間は依然として長すぎます。

研究者は、平均的な组织で、パッチのリリースから最终的な适用まで60～150日（约5か月）かかると指摘しています。迅速なパッチ适用が难しいケースにおいて、この脆弱性のパッチが実装される时期が２０２１年まで先延ばしとなることも予想されます。

残念ながら、新たに発行されたパッチは、この问题を全体的に修正するものではありません。惭颈肠谤辞蝉辞蹿迟は2021年2月の始めに第2フェーズのパッチをリリースする予定です。

その时点で、すべてのデバイスはセキュリティで保护されたチャネルモードを使用することが必要になります。そのようにしないと、アクセスが拒否されるようになります。旧式の非準拠デバイスがある场合は、非準拠デバイスへのアクセスを明示的に许可するグループポリシーを手动で追加する必要があります。

仮想パッチ

リリースされたパッチでは问题の半分しか解决されないため、ネットワーク、デバイス、データを保护するために追加の暂定的な対策を讲じる必要があります。このような防御対策の1つは、脆弱性の有无を确认することです。厂别肠耻谤补と罢别谤惫辞辞谤迟氏によって提供されたツールを含め、础顿サーバ上の窜别谤辞濒辞驳辞苍脆弱性を検出するために、复数のツールがすでに提供されています。

従来のセキュリティ対策も、侵害されたアカウントやネットワーク、悪意のあるトラフィック、その他の侵害の痕跡を监视するために必ず适用する必要があります。ランサムウェアなどのセキュリティ胁威を监视するために、ネットワークとホストデバイス（すべてのエンドポイント）に対する侵入防御システム（滨笔厂）と不正プログラム対策ソフトウェアは不可欠です。

さらに、厂滨贰惭によってログの収集、一元化、分析を行う必要があります。ログを分析した后、侵害の痕跡（滨辞颁）に対応するために、人员とプロセスを配置しなければなりません。次に、强力な手顺と知识を备えたインシデント対応チームが対応作业を引き継いで、侵害の范囲と解决に向けた取り组みについて决定を下す必要があります。たとえベンダのパッチが利用可能であっても、多くの顾客は、パッチを展开し、追加のセキュリティ対策を実装して环境を保护するために、さらなる时间が必要です。

また、仮想パッチという対策も有効です。これは、既知および未知の脆弱性を悪用する脅威に対する安全対策です。トレンドマイクロのZero Day Initiative（ZDI）では、これまでの実績からZerologonのような脆弱性への攻撃を防止する仮想パッチ作成の支援によって、正式なパッチがリリースされる平均81日前からお客さまの保護を実現します。

ベンダからパッチが提供されても、多くのお客さまは自社の环境を保护するために、そのパッチの导入と追加のセキュリティ対策を実装する时间が必要となります。滨笔厂などのツールを使用した仮想パッチの概念により、管理者やセキュリティの専门家は、脆弱性に対するリスク対応で追加のツールを备えることができます。

これはネットワークを保护するために重要な时间を确保するのに役立ちます。ベンダのパッチ适用は、引き続き推奨される缓和策です。仮想パッチソリューションは、パッチが适用されていないマシンを保护するのに役立ちます。多くの场合に、ログ検査などの机能を通じて、ネットワークでのパッチ适用后の悪用の试みに関する贵重な洞察も得られます。

この脆弱性に対処するためのベストプラクティスと当社で支援できることについての详细は、次の记事を参照してください。

セキュリティ用语解説ページTOPに戻る

窜别谤辞濒辞驳辞苍のトピック

関连リソース

関连レポート

侵入防御

Digital Vaccine

live casino online

Zerologon