headless 曰く、

Microsoftは24日、Netlogonの特権昇格の脆弱性(CVE-2020-1472、Zerologon脆弱性)に対する活発な攻撃が確認されているとして注意喚起した(Microsoft Security Intelligenceのツイート、 Ars Technicaの記事、 The Registerの記事、 BetaNewsの記事)。

この脆弱性はMicrosoft Netlogon Remote Protocol(MS-NRPC)の安全なRPCを使用しないNetlogonセキュアチャネル接続に存在し、Windows Serverでは8月の月例更新で修正されている。脆弱性の深刻度を示すCVSSスコアは最も高い10.0となっており、米国土安全保障省のCybersecurity & Infrastructure Security Agency(CISA)は政府機関に対して8月の月例更新プログラムを適用するよう命じる緊急指令20-04を発出しているが、これまでMicrosoftは悪用の可能性が低いと評価していた。今回の注意喚起も一連のツイートはMicrosoft 365の宣伝のような感じになっている。

なお、Zerologon脆弱性はプロトコルレベルの脆弱性であり、MS-NRPCを実装するSambaも影響を受ける。ただし、影響を受けるのはドメインコントローラーとして使用する場合で、ファイルサーバーとしてのみ使用する場合は直接的な影響を受けない。また、2018年3月リリースのSamba 4.8以降ではデフォルトで安全なRPCの使用が強制されるため、smb.confで「server schannel = auto」または「server schannel = no」が指定されていない限り影響を受けない。一方、Samba 4.7までのバージョンはsmb.confに「server schannel = yes」を指定しなければ影響を受けるとのことだ。