October 2020 Archives

CVE-2020-16898(Bad Neighbor)

gamzatti
Vote 0 Votes

最近、脅威度高いWindowsの脆弱性多いですね、、、

WindowsTCPスタックが、特定の条件に該当する ICMPv6 Router Advertisement パケットを処理するとバッファオーバーフローが起きるという内容です。

攻撃コードも公開されており、Windows 10がブルースクリーンになって落ちることを確認しました。

攻撃成立に必要な条件は、ICMPv6 Router Advertisement パケットが通ることと、IPv6が有効になっていることのみです(デフォルトの状態です)。

今出ている攻撃コードはDoSに留まっているようですが、バッファオーバーフローなので、今後任意のコード実行ができる攻撃コードが公開される可能性もあると思います。

10月マイクロソフトセキュリティ更新プログラムで修正されているとのことなので、早めの適用が良さそうです。

パッチを適用できない場合は、各コンピュータのIPv6を無効にしても効果があります (NWアダプタのプロパティで無効化できます。ipconfigを打って、IPv6アドレスが表示されなければOK)

さて引き続きCVE-2020-1472 (Zerologon)ですが、今回は痕跡調査について。

あまり明確に残る痕跡がないのが現状なのですが、その中でも痕跡になりそうなログを挙げてみました。

ただし、攻撃手法にもよるので、必ず記録される訳ではなく、あくまで参考情報として使ってくださいね。

前回のブログで少し書いたのですが、攻撃には以下の様な特徴があります。

1)リモートからDCのコンピュータアカウントの認証を突破する

2)突破できた場合、DCのコンピュータアカウントのパスワードを空にする

ただし、最近公開された新しい攻撃手法では、2のステップは行わない様になっており、

代わりに攻撃者がNTLM Relayという方法で正規のDCになりすまして、他のフォレストのDCを攻撃する手法を取っています。

上記の様な攻撃の特徴を踏まえて、以下の様なログが記録されることがあります。

意図しないコンピュータからの ANONYMNOUS LOGON(Windows 2008R2などの古いコンピュータでは、通常の運用でも記録されることがある)

 意図しないのであれば、認証要求元は攻撃者である可能性が高い

 ただ、ANONYMNOUS LOGONは新しい攻撃手法では記録されないみたいです。

4624_ANONUMOUS.png

・一番最初にホワイトペーパで公開された手法やmimikatzを使った場合は、DCのコンピュータアカウントのパスワードがリセットさせることで不整合が起こり、

 DCのコンピュータアカウントの認証失敗ログが記録される。

 ただしこのログも、新しい攻撃手法では記録されないことに注意。

4771_fail.png

新しい攻撃手法では、認証要求元コンピュータのIPアドレスとコンピュータ名の不一致が発生する。

 以下の例では攻撃者がセカンダリのDCになりすましているため、本来のセカンダリDCのIPアドレスと異なる攻撃者のIPアドレスが記録されている

 DHCPの環境では、全ての端末についてIPとコンピュータ名が一致しているか確認するのは難しいですが、DCだけであれば、できそうですね。

 IPとコンピュータ名の不一致は、Zerologonだけでなく、他の攻撃の可能性もありそうですが。。

4624_inpersonate.png

さすがmimikatz、Zerologonのオプションが追加されていますね。。

攻撃は簡単ですが、クリアされたドメコンのコンピュータアカウントのパスワードをリストアするところまではやってくれない様で、

認証情報のダンプは出来ますが、攻撃後、ドメコンとしてまともに動かなくなってしまいます。

なので、Golden Ticketなどを使うためには、ドメコンのコンピュータアカウントのパスワードを攻撃前に戻すという作業が必要です。

ただし、これは攻撃者からも出来ますし、やる方法も公開されているので、脅威であることに変わりはありません。

早めに対処してくださいね。

About this Archive

This page is an archive of entries from October 2020 listed from newest to oldest.

September 2020 is the previous archive.

December 2020 is the next archive.

Find recent content on the main index or look in the archives to find all content.