Microsoftは14日、Netlogonの特権昇格の脆弱性(CVE-2020-1472)対策として2月9日のセキュリティ更新プログラムでWindowsドメインコントローラー(DC)強制モードをデフォルト有効化するのに向け、対応を呼びかけた(Microsoft Security Response Centerのブログ記事)。

CVE-2020-1472は安全なRPCを使用しないNetlogonセキュアチャネル接続に存在するMicrosoft Netlogon Remote Protocol(MS-NRPC)の脆弱性だ。Microsoftでは2020年8月の月例更新で修正したが、悪用の可能性は低いと評価していた。しかし、9月には米国土安全保障省(DHS)が政府機関に更新プログラム適用を命ずる緊急指令20-04を発出し、Microsoftも活発な攻撃が確認されていると注意喚起していた。

DC強制モードではNetlogonセキュアチャネル接続を使用するすべてのデバイスで安全なRPCの使用が必要になる。これにより、アカウントを明示的に脆弱なままとする非対応デバイスリストに追加しない限り、安全なRPCを使用できないデバイスからの接続はブロックされる。Microsoftでは昨年のうちにFAQを公開し、2月からの強制モード有効化計画を示していたが、実施が近づいたことから改めて対応を呼びかけている。

対応の主なポイントとしては、ドメインコントローラーに昨年8月以降の更新プログラムを適用する、脆弱な接続を使用するデバイスをイベントログで特定する、脆弱な接続を使用する非対応デバイスの対策を行う、事前に強制モードを有効化する、といったものだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | ネットワーク | スラッシュバック | バグ |

関連ストーリー：
Windows 10でBSoDを引き起こすWin32デバイス名前空間パス 2021年01月20日
GoogleのProject Zero、6月の更新プログラムで完全に修正されていなかったWindows 10の脆弱性を公表 2020年12月27日
Microsoft、SMSや音声通話による多要素認証をやめてアプリベースの多要素認証への移行を推奨 2020年11月13日
Microsoft、IE11でjscript.dll実行をブロックするオプションを10月の月例更新で追加 2020年10月16日
Microsoft、Netlogon特権昇格の脆弱性に活発な攻撃が確認されていると注意喚起 2020年09月27日
米国土安全保障省、政府機関にWindows Serverの更新プログラム適用を命じる 2020年09月24日
QualcommやMediatekのWi-Fiチップでも「KrØØk」に似た脆弱性が発見される 2020年08月12日