DFSCoerceとはなんでしょう。
DFSCoerceは、概念実証につけられた名前です。
NTLMリレー攻撃の一つです。
Windowsドメインシステムはいろいろな機能を持っています。
そのいろいろな機能を分散配置して性能を稼ぐことができるようになっており、その分散環境を成り立たせる重要な機構の中に、認証機構があります。
複数台にわたって構築されたシステムでも利用者の操作から見るとまるで一つのシステムであるかのように利用することができます。
その裏では利用者の認証情報がWindowsドメインを構成するサーバの間でやり取りされることとなります。
このとき、そのサーバとサーバの間に入ってユーザの資格情報を盗み取る動きをします。
これがNTLMリレー攻撃です。
MITM攻撃(中間者攻撃)の一種です。
NTLMリレー攻撃自体は新しい形式のものではありません。
かつてNTLMリレー攻撃はすでに確認されており、その際には設定による緩和の方法も案内されましたが、その攻撃に対応するためのパッチも提供されました。
このときリレーされて悪用されたのは、Microsoft暗号化ファイルシステムリモートプロトコル(MS-EFSRPC)プロトコルでした。
こういったプロトコルは複雑なWindowsドメインの仕組みを成り立たせるため、他にもいくつも実装されています。
そして今回DFSCoerceの方式で悪用ができることが確認されたのは、Windows分散ファイルシステム(DFS)をリモートプロシージャコール(RPC)インターフェイスで管理できるようにするプロトコルであるMS-DFSNMでした。
このプロトコルは、さまざまなストレージメディアを単一の論理名前空間に結合することにより、異なるサーバー上にある共有をグループ化するプロトコルのコレクションの1つです。
DFS名前空間は、共有の仮想ビューです。ユーザーが名前空間を表示すると、その中のディレクトリとファイルは単一の共有上にあるように見えます。
利用者にとってはわかりやすく便利な機構です。
今回の脆弱性に対応するために、MS-EFSRPCのときに案内されたものと同じ緩和策が有効です。
システムで拡張認証プロトコル (EAP) を有効にし、NTLM認証をなるべく使用しないように無効化するというものです。
提供される修正パッチをタイムリーに適用していくことはとても重要です。
しかしそれだけではなく、安全性という意味での正しい設定を適切に施していくことの重要性も確認する必要がありそうです。
意図した動作ができるという意味の便利のための正しい設定は実施できている組織が多いと思います。
あなたの関わるシステムでは、安全のための正しい設定が必要十分に実施できているかは考えられているでしょうか。
ここまで踏み込んだセキュリティのための設定の監査は容易ではないと思いますが重要です。
一方で、より安全なものが標準で有効な状態であればよいのになとも思います。
ソフトウェア業界に身を置くものとして、お勧め設定が標準設定であるようなものを提供していきたいなと思いました。
参考記事(外部リンク):DFSCoerce, a new NTLM relay attack, can take control over a
Windows domain
blog.malwarebytes.com/exploits-and-vulnerabilities/2022/06/dfscoerce-a-new-ntlm-relay-attack-can-take-control-over-a-windows-domain/参考記事(外部リンク):KB5005413: Mitigating NTLM Relay Attacks on Active Directory
Certificate Services (AD CS)
support.microsoft.com/en-gb/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
この記事をシェア |
---|