SentinelOneがエンドポイントでZerologon (CVE-2020-1472)を検知

エグゼクティブサマリー

  • 一部のエンドポイントベンダーは、重大な脆弱性であるこの CVE はネットワークセキュリティの問題であると主張してきました。SentinelOne は 2020 年 9 月 30 日、それが間違いであり、Zerologon エクスプロイトをエンドポイント上で検知できることを発表しました。
  • SentinelOne は、標的としたホスト上でのエクスプロイトを正確に検知できる唯一のベンダーです。SentinelOne プラットフォームは、当社の Storyline 技術で、エクスプロイト後のイベントをリンクすることもできます。この脆弱性を用いた悪質行為の検知は、4.2 SP4 から対応可能で、既存のSentinelOne のお客様もご利用可能です。
  •  SentinelOneでは、今回の重要なサーバの脆弱性を検知するデモ動画も公開しています。いかなる攻撃手法にも対応が可能な技術は、脅威ランドスケープの一歩先を歩んでいます。

Zerologon の脆弱性とは

CVE-2020-1472、通称「Zerologon」と呼ばれるこの脆弱性は、現在サポートされている Microsoft Windows Server のすべてのバージョン(Windows 2008 R2、2012、2016、2019)に存在する重大な脆弱性です。

この特権昇格の脆弱性は、Netlogon Remote Protocol(MS-NRPC)の欠陥を利用しており、攻撃者はドメインコントローラ自体のマシンアカウントを含むシステムになりすますことができます。

Secura のセキュリティ専門家 Tom Tervoort 氏が発見したこの脆弱性は、リモートの攻撃者が Netlogon の認証トークンを偽造し、ドメインコントローラのコンピュータパスワードを既知の値に設定することを可能にします。その後、攻撃者は新しいパスワードを使用して、ドメインコントローラを乗っ取ったり、認証資格情報を変更または追加したり、権限を昇格したり、ドメイン内の他のマシンに移動したりすることができます。

のちに、他の研究者は、ドメインパスワードのリセット以外にも、すべてのドメインパスワードを抽出する機能を実証するなど、Zerologon の脆弱性を運用する方法を発見しています。このような開発により、企業がさらされるリスクが増大しています。

このような攻撃を成功させるためには、攻撃者はまず、ドメインコントローラと同じネットワーク上のデバイスにリモートまたは物理的にアクセスする必要があります。しかし、有効なドメイン資格情報やドメインメンバーシップは、攻撃を成功させるための前提条件ではありません。

脆弱性が公開されて以来、エクスプロイトコードが野放しで発見されており、CISA はこの脆弱性が「容認できないリスク」をもたらすとし、「即時かつ緊急の対応」が必要だと述べています。

マイクロソフトは Zerologon の初期パッチを公開しているが、これは初期段階に過ぎず、OS ベンダーは完了までに少なくとも 2021 年の第 1 四半期までかかると予想しています。一方でマイクロソフトのアドバイザリは、現在のアップデートはサポートされているWindows デバイスのみを保護するものであり、レガシーバージョンの Windows やNetlogon MS-NRPC プロトコルを使用してドメインコントローラと通信する他のデバイスは危険にさらされる可能性があると指摘しています。

さらに、初期パッチは Zerologon エクスプロイトを利用した攻撃を防ぐものではありません。むしろ、安全でない RPC を検知するためのロギングと、プロトコルを使用しているデ バイスがない場合に安全でない RPC を無効にするためのレジストリ設定が追加されています。企業のセキュリティチームにとっての課題は、この機能をオフにしただけでは、レガシーアプリケーションが動作しない可能性があるということです。したがって、現在利用可能なパッチであっても、レジストリ設定を無効にできない場合は、脆弱性が残っていることになります。

Zerologon の悪用を検知して防御する

エンドポイントの観点から見ると、この攻撃は、攻撃者が本質的に正当なユーザ/アカウントの動作に似たドメインを認証しているため、検知が困難になる可能性があります。さらに、主な攻撃ベクトルは、ホストのファイルシステムとの相互作用とは対照的に、ネットワークレベルにあります。その結果、従来の多くのエンドポイントセキュリティソリューションでは、この欠陥に直接対処することは「範囲外」となっています。

対照的に、SentinelOne のリサーチチームは、エンドポイントでこの攻撃手法を検知できるようにするために、独自に開発した SentinelOne の革新的な技術を活用した、ひとつの攻撃手法にとらわれないアプローチをとっています。当社 SentinelLabs のリサーチチームは、利用可能なさまざまなフレームワークで多数のテストを実行してきました。当社の分析では、この攻撃は成功しているものの、他のドメインコントローラとの通信に様々な方法で悪影響を及ぼすため、ドメインコントローラ上でも異常に気づきやすくなります。

当社のリサーチの結果、SentinelOne プラットフォームは、標的とされたシステムに対する最初のエクスプロイトとエクスプロイト後の攻撃の両方を検知することができるようになりました。この攻撃はネットワークから始まりますが、エンドポイントは受信トラフィックの試行を完全に認識しています。

Netlogon Remote Protocol は、ドメインのメンバーからドメインコントローラ(DC)、ドメインの DC 間、そしてドメインをまたがる DC 間のドメインの関係を維持するために使用されます。システム内で行われた認証を、ローカルとリモートの両方で監視し、振舞い AI エンジンに渡すことで、エクスプロイトの実施による認証と正常な認証とを区別することができます。疑わしい振舞いが検知されると、管理コンソールに脅威としてコンテキストをベースにア ラート表示することができます。

SentinelOne と Zerologon の比較 (CVE-2020-1472)
Detecting Zerologon activity on the endpoint

Zerologon を利用した攻撃を防御しましょう

エージェントの他の変更と同様に、さまざまな環境での安定性を確保するために、この機能を選択したお客様に展開を開始しました。この重要な検知機能は、4.2 SP4 を導入している既存のお客様に提供されています。バージョン 4.3 および 4.4 には、今後のサービスパックのアップデートでこの検知機能が含まれる予定です。まだ SentinelOne を導入されていらっしゃらないお客様は、お客様のビジネスを保護する方法についてご確認いただくか、当社の無料デモをリクエストしてください。