ドメインに対する永続的な管理者権限での侵入の検証レポート
【概要】
「WindowsのKerberos認証の脆弱性により、権限昇格が行える脆弱性(CVE-2014-6324)に関する検証レポート」で紹介した、MS14-068の修正プログラムにより修正される脆弱性は、ドメインに参加が許可されているユーザーがドメインの管理者権限を奪取することが可能な問題です。この脆弱性を利用した後の攻撃者による更なるシナリオとしては、
- ドメインユーザー名とそのパスワードハッシュのリストを取得する
- バックドア用のユーザーを作成する
- マルウェアをインストールする
- 侵入範囲を拡大するための情報(ホスト名、IPアドレス)を収集する
- 侵入範囲を拡大する
などといった行動が考えられます。
他には、永続的な侵入を可能にするためにKerberosチケットの有効期限を変更するというものも挙げられます。
以下の図はチケットの有効期限を10年間に変更したものです。チケットの有効期限内であれば、チケットのユーザーのパスワードを変更したとしても、攻撃者はログオンすることが可能となります。すなわち、チケットの有効期限を変更することで攻撃者は永続的な攻撃が可能となります。
下図はチケットの有効期限を10年に変更したものの確認結果です。
このような状態のチケットは「Golden Ticket」と呼ばれています。
Golden Ticketは、任意のユーザー、または、任意の有効期限が設定された状態のチケットです。Windowsのドメインコントローラーはデフォルトで10時間のチケット有効期限が設定されていますが、Golden Ticketを利用することにより、この制限を回避してドメインのリソースへアクセスし続けることが可能となります。
また、以下の図は、Golden Ticketを利用してドメインコントローラーへアクセスした後、バックドア用のユーザー「golden」を作成し、ユーザー「golden」を「Domain Admins」権限へ追加するまでを示しています。
このように攻撃者が任意のユーザ名、パスワードを設定した管理者ユーザアカウントを追加し、本来の管理者に気付かれぬよう永続的な侵入を行うといった攻撃が行われることもあります。
このGoldenチケットによるリソースへのアクセスを防ぐためには、krbtgtアカウントのパスワードを二回変更する必要があります。ただし、krbtgtアカウントのパスワードを変更することにより、現在ログオン中のセッション全てに影響を及ぼす可能性があるため、実行する際には運用中のシステムに影響を及ぼさないことを検証環境にて十分に確認を行ってから実施することを推奨します。
MS14-068の修正プログラムにより修正される脆弱性と併せて対策を実施する場合、
- MS14-068の修正プログラムを適用する
- krbtgtアカウントのパスワードを二回変更する
というステップを踏んでいただくことが挙げられます。
reported by y.izumita, ntsuji
