マイクロソフト、NTMLリレー攻撃「PetitPotam」の対応策を公開

Microsoftは、ドメインコントローラや他のWindowsサーバを乗っ取ることができる新しいPetitPotam NTLMリレー攻撃の対応策を公開しました。

https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

PetitPotamは、フランスのセキュリティ研究者Gilles Lionel(Topotam)によって発見された、NTLMリレー攻撃を行うことができる新しい手法で、この方法は、概念実証(PoC)スクリプトとともに公開されました。

Windowsパスワードハッシュを強制的に共有させられる全Windowsに影響する脆弱性が発見:PetitPotam: PrintNightmare、SeriousSAMに続き3つ目の深刻な脆弱性

この攻撃は、Microsoft Encrypting File System Remote Protocol (EFSRPC)を使用して、ドメインコントローラーを含むデバイスに、攻撃者がNTLMリレーへの認証を強制させることができます。

デバイスが悪意のあるNTLMサーバーに認証されると、攻撃者はハッシュと証明書を盗み、IDやパスワードなどを特定するために使用することができます。

対応策の要約

https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

マイクロソフトは、Windowsドメインコントローラやその他のWindowsサーバへの攻撃に使用される可能性のあるPetitPotamの存在を確認しています。

PetitPotamは、典型的なNTLMリレー攻撃であり、ユーザを保護するための多くの緩和策とともに、マイクロソフトによって以前から文書化されています。例えば、Microsoft Security Advisory 974926など

NTLMが有効なネットワークにおけるNTLMリレー攻撃を防ぐために、ドメイン管理者は、NTLM認証を許可しているサービスが、Extended Protection for Authentication (EPA)などの保護機能や、SMB署名などの署名機能を利用していることを確認してください。

PetitPotamは、Active Directory Certificate Services (AD CS)にNTLMリレー攻撃に対する保護機能が設定されていないサーバを利用します。KB5005413に記載されている対応策は、このような攻撃からAD CSサーバーを保護する方法を示しています。

https://support.microsoft.com/ja-jp/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

ドメインでNTLM認証が有効になっており、Active Directory Certificate Services (AD CS)を以下のいずれかのサービスで使用している場合、この攻撃を受ける可能性があります。

  • 認証局のWebエンロール
  • 証明書登録ウェブサービス(Certificate Enrollment Web Service)

以下のいずれかの対応策をお勧めします。

推奨される対応策

最も簡単な対応策として、WindowsドメインコントローラのNTLM認証を無効にすることをお勧めします。 これは、ネットワークセキュリティのドキュメントに従うことで実現できます。

その他の対応策

ドメイン上でNTLMを無効にすることができない場合、以下のいずれかを行なうことができます。これらは、より安全なものから安全でないものの順に記載されています。

グループポリシー「ネットワークセキュリティ」を使用して、ドメイン内のAD CSサーバでNTLMを無効にする。

NTLMを制限する:受信するNTLMトラフィックを制限する。このGPOを設定するには、グループポリシーを開いて、コンピュータの構成→Windowsの設定→セキュリティの設定→ローカルポリシー→セキュリティオプションを開き、「ネットワークセキュリティ:NTLMの制限:着信NTLMトラフィック」を設定します。Restrict NTLM: Incoming NTLM traffic」を「Deny All Accounts」または「Deny All domain accounts」に設定します。 必要に応じて、「ネットワークセキュリティ:NTLMの制限:サーバー例外の追加」を設定して、必要な例外を追加します。NTLMを制限する:このドメインでサーバーの例外を追加する」。

Certificate Authority Web Enrollment」または「Certificate Enrollment Web Service」サービスを実行しているドメイン内のAD CSサーバー上のインターネットインフォメーションサービス(IIS)のNTLMを無効にする。

これを行うには、IIS マネージャ UI を開き、Windows 認証を「Negotiate:Kerberos」に設定する。

ただし、NTLM を完全に無効にできない場合は、AD CS サービスで EPA を有効にすることを推奨する。

UI で EPA を有効にした後、CES ロールが作成した Web.config ファイル「<%windir%>\systemdata\CES_CES_Kerberos\web.config」を更新し、上記 IIS の UI で選択した Extended Protection オプションに基づいて、「WhenSupported | Always」のいずれかの値を持つ 要素を追加する必要があります。extendedProtectionPolicy で使用できるオプションの詳細については、 の を参照してください。使用される可能性の高い設定は以下の通りです。

            <binding name="TransportWithHeaderClientAuth"> (英語) 
                <security mode="Transport">                         
                    <トランスポート clientCredentialType="Windows"> 
                    <extendedProtectionPolicy policyEnforcement="Always" />。
                    </transport> 
                    <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" />。
                </security> 

                <readerQuotas maxStringContentLength="131072" /> <readerQuotas 
            </binding> 

詳細については、Microsoft Security Advisory ADV210003を参照してください。

https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

緩和策はドメインコントローラに限定

マイクロソフト社は、ドメインコントローラ上でこの新しい脆弱性を使用する脅威者から組織を守るための推奨事項を記載したセキュリティアドバイザリを公開しました。

マイクロソフト社によると、PetitPotamやその他のリレー攻撃にさらされている組織は、ドメイン上でNTLM認証が有効になっており、Active Directory Certificate Services (AD CS)でCertificate Authority Web EnrollmentまたはCertificate Enrollment Web Serviceを使用しているとのことです。

マイクロソフトは、ドメインコントローラなどNTLMが不要な場合はNTLMを無効にすることを推奨しており、Windowsの認証情報を保護するExtended Protection for Authentication機能を有効にすることも推奨しています。

マイクロソフト社のPetitPotam NTLMリレー攻撃に関するアドバイザリ

また、NTLMを有効にしているサーバでは、NTLM認証を許可しているサービスにWindows 98以降に提供されているSMB署名などの署名機能を使用することを推奨しています。

PetitPotamは、Active Directory Certificate Services(AD CS)にNTLMリレー攻撃に対する保護機能が設定されていないサーバーを利用します(KB5005413に記載されています)” – Microsoft

しかし、PetitPotamはMS-EFSRPC APIのEfsRpcOpenFileRaw関数を悪用して認証要求を行っているため、まだ他の攻撃の可能性があるとのことです。

マイクロソフト社の推奨策は、NTLMリレー攻撃を防止するための対策については明確になっていますが、MS-EFSRPC APIの悪用については言及しておらず、これを修正するにはセキュリティアップデートが必要です。

PetitPotamは、データ暗号化規格(DES)を使用するNTLMv1へのダウングレード攻撃など、他の攻撃も可能にしているとのことで、DES(Data Encryption Standard)を使用したものがあり、DESは鍵の生成時間が短く、パスワードハッシュの復元が容易であることから、安全性の低いアルゴリズムです。

攻撃者は、このアカウントを、ローカル管理者権限を持つマシンで使用することができ、ExchangeやMicrosoft System Center Configuration Manager (SCCM)のサーバーが一般的な攻撃シナリオだと述べています。

ベンジャミン・デルピーは、マイクロソフト社がPetitPotamの対応策を決定した方法に批判を表明し、EFSRPCプロトコルがアドバイザリの中で言及されていないことに言及しています。

PetitPotamは、Windows Server 2008から2019年まで影響を受け、マイクロソフト社の対応策は、この技術がまだ実世界で悪用されていないことに言及していますが、悪用可能性のレベルについては評価していません。

Leave a Reply

Your email address will not be published.