未解決
Community Manager
•
3.1K メッセージ
0
2119
CVE-2020-1472に対するナレッジベース情報の紹介(Dell EMC Unity、VNX1、VNX2、VNXe1、VNXe2、eNAS、PowerStore)
マイクロソフト社が公開しているCVE-2020-1472に従い、2021年2月以降にActive DirectoryにおいてSecure RPCが強制的に有効となる仕様が入ります。
それに伴い、Secure RPCに対応をしていないWindows以外の端末が仕様変更後のActive Directoryドメインに参加をすることが出来なくなるという事象が発生することが懸念されます。
デル・テクノロジーズでは以下のナレッジベース情報において、Dell EMC Unity、VNX1、VNX2、VNXe1、VNXe2、eNAS、PowerStoreの解決方法(Fix)を公開しています(KB参照にはデル・テクノロジーズのオンラインサポートサイトへのログイン権限が必要です)
【参考】
2021年2月22日時点でのそれぞれのプロダクトにおける解決方法(Fix)の直訳は以下の通りです。
ナレッジベース情報の内容はアップデートされることがありますので、最新の情報は上記のナレッジベース情報(KB79128)でご確認ください。
- Dell EMC Unity: OE 5.0.6以降をインストールすることによりSecure RPCの機能が追加されます
- VNX2: OE 8.1.21.266をインストールすることによりSecure RPCの機能が追加されます
- eNAS: PowerMax OSバージョン5978.711.711に含まれるeNASバージョン8.1.15.323にエンハンスメントが含まれているので、このバージョンへアップグレードをお願いします
- VNXe2: エンハンスメントの準備中です。アップデートの確認はKB79128を参照してください
- VNX1, VNXe1: これらのプロダクトに関しては運用のためのアップデートが準備されていません。以下ワークアラウンドセクションにて説明されている、マイクロソフト社が提供しているワークアラウンドを適用してください
- PowerStore: PowerStore OS Service Pack 4 v1.0.4.0.5.003以降へアップグレードすることによりSecure RPCの機能が追加されます
ワークアラウンド:
ドメインコントローラーの強制モードをEnableにすると、「Domain Controller」ポリシー配下に新しいグループポリシーオブジェクト:Allow vulnerable Netlogon secure channel connectionsが追加されます。このポリシーをEnableにすることによりVNX CIFSやSMBサーバなどがVulnerable Connections listに追加されます。
How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472
【参考2】マイクロソフト社が公開している対応ガイダンス
[AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要
【参考3】CVE-2020-1472に関する概要
ドメインコントローラー(Active Directory)との認証処理においてSecure RPCを利用せずにNetlogonリモートプロトコルを利用した際、Zerologinという攻撃方法を利用してActive DirectoryのAdmininistrator権限を乗っ取ってしまうことが出来る可能性が指摘された。
この脆弱性が突かれる条件としては、Active Directoryサーバに直接TCPアクセスが出来る悪意のある端末があることである。実際のところActive Directoryが外部からアクセスできるとは考えにくいが、内部の端末がウィルスに感染している場合などが懸念される。
この問題はSecure RPCを利用することにて解決することができるために、マイクロソフト社ではステップ1としてActive DirectoryにおいてSecure RPCを強制的に使用する機能を2020年8月に発表/公開した。この段階では市場の混乱を恐れ、Active Directoryの管理者がSecure RPCの強制使用の有無を選択することが出来た。しかし2021年2月にステップ2として発表/公開したものからはSecure RPCがデフォルトで強制的に使用されるような仕様となった。