Zerologonとは【用語集詳細】

Zerologonは、2020年に公開されたWindows Netlogonの脆弱性(CVE-2020-1472)です。
Zerologonは、Windows Active Directoryの通信プロトコルであるNetlogon(MS-NRPC)を悪用し、権限を持たない攻撃者がドメインコントローラにアクセスすることを可能にする脆弱性です。
攻撃者はZerologonによってActive Directoryのアイデンティティサービスを利用し、ネットワーク上の任意のデバイスにアクセスすることが可能になります。
本脆弱性の発見後、複数のAPTがサイバー攻撃におけるラテラルムーブメントにおいて利用していることが確認され、CISAなど関係機関が注意喚起および脆弱性修正指示を発出しています。
Zerologonは、MS-NRPCにおける暗号の不備(固定されたIV)、および平文によるNetlogonセッションの処理等に起因しています。エクスプロイトの利用により通信の秘匿性が失われ、認証バイパスが可能となります。
MITRE ATT&CKによれば、Earth Lusca、FIN7、Wizard SpiderなどのAPTがZeroLogonを使用しています。