Netlogon RPCの特権の昇格の脆弱性 (CVE-20122-38023) の影響につきまして
hasegawa2022年11月8日にMicrosoft社より発表されております、「Netlogon RPCの特権の昇格の脆弱性 (CVE-20122-38023) 」に関して、当社製品の対応状況をお伝えいたします。
状況
パトロールクラリスにおいて、NetBIOS/Microsoft-DS接続の場合にRPCシールが強制されることでNTLM認証に影響がある可能性が考えられます。
こちら、Microsoft-DS、NetBIOS接続にてローカルユーザ、ドメインユーザ共に検証を行い、影響がないこと(Windows内部監視が可能であること)を確認しております。
※ドメインコントローラサーバーのAdministratorアカウントへも同様の検証を行って影響がないことを確認しております。
※telnet接続でのチャット監視、カスタマイズ監視についても影響がないことを確認しております。
※ロボシュタイン、パトロールロボコン、アラートコールにおいて、本脆弱性の影響はありません。
詳細
- 2023年7月11日に予定されている強制フェーズと同じ設定となるようレジストリキー HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters値 RequireSeal を「2(強制モード)」とした状態にて、検証を行いました。
- ClariceWinModule(CWM)接続、ClariceAgent接続、PWSH接続につきましても、影響がないこと(Windows内部監視が可能であること)を確認しております。
- ClariceWinModule(CWM)、ClariceAgentのインストール等管理画面上からの操作につきましては、今までと同じくSMB1.0が有効であれば可能であることを確認しております。
- 「ネットワークセキュリティ:LAN Manager認証レベル」は「未定義」「NTLM応答のみ送信する」どちらの設定の場合も影響がないことを確認しております。
参考
- Netlogon RPC の特権の昇格の脆弱性
- KB5021130: CVE-2022-38023 に関連する Netlogon プロトコルの変更を管理する方法
http://msrc.microsoft.com