本製品Q&Aは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。
翻訳については順次対応しておりますが、最新の情報になっていない場合があります。
最新の情報は英語版のページでご確認ください。英語版のページはこちら。
緩和と保護
何よりもまず、この脆弱性に対する最初の保護策は、影響を受けるすべてのシステムにマイクロソフトの最新のセキュリティ更新プログラムが確実に適用されるようにすることです。これは、この脆弱性から発生する可能性のあるエクスプロイトから保護するための主要な推奨事項です。調査によると、この脆弱性の悪用には重大な制限が1つあります。特に、リモートから悪用することはできません。攻撃者は、最初に他の手段(正当かどうかにかかわらず)を介してネットワークドメインにアクセスする必要があります。したがって、1つの主要な軽減点は、ネットワークアクセス(物理的およびリモートの両方)が慎重に保護されるようにすることです。ただし、攻撃者が別の脆弱性を介して、または合法的にネットワークへのアクセスを取得した場合、これは強力なエクスプロイトになる可能性があります。
トレンドマイクロの保護
顧客を支援するために、トレンドマイクロは、特に包括的なパッチ適用に時間がかかる可能性がある場合、または実行できない場合に、組織の全体的なセキュリティ体制を強化するのに役立つTrend Micro Deep Security ipsルールとTippingPointフィルター等の形式で追加の保護レイヤーを作成してリリースしました。ipsルール
Trend Micro Deep Security, Cloud One - Workload Security
- Rule 1010519 - Microsoft Windows Netlogon Elevation Of Privilege Vulnerability (CVE-2020-1472)
- Filter 38166: MS-NRPC: Microsoft Windows Netlogon Zerologon Authentication Bypass Attempt
その他 検査/検出ルール
Deep Discovery Inspector
- Rule 4453: CVE-2020-1472_DCE_RPC_ZEROLOGON_EXPLOIT_REQUEST
- Rule 4455: CVE-2020-1472_SMB2_ZEROLOGON_EXPLOIT_REQUEST
トレンドマイクロは引き続き、お客様を支援するために他の形式の検出と保護を積極的に調査していますが、主要な推奨事項は公式のマイクロソフトパッチをできるだけ早く適用することであることを繰り返し述べたいと思います。追加の保護レイヤーが見つかった場合は、この記事とお客様を引き続き更新します。
参照
- トレンドマイクロブログ: Zerologon” and the Value of Virtual Patching - https://www.trendmicro.com/en_us/research/20/i/zerologon-and-value-of-virtual-patching.html
- Trend Micro Video (Youtube) - Cloud One - Workload Security about Zerologon
- マイクロソフトアドバイザリ:https//portal.msrc.microsoft.com/en-us/security-guidance/advisory/cve-2020-1472