Specops security breach image

パスワードのリセットは、侵害が疑われた場合の最初の対応であることが多い。認証情報をリセットすることは、攻撃者の最も明白な侵入経路を断つ手っ取り早い方法だからだ。

しかし、それで問題が完全に解決するとは限りません。Active Directory(AD)とハイブリッドEntra ID環境の両方において、パスワードの変更は、すべての認証パスにわたって古いクレデンシャルを直ちに無効にするわけではない。

短いウィンドウであっても、攻撃者がアクセスを維持したり、足場を再び築くことを可能にする可能性があります。

セキュリティ・アーキテクトとIT管理者にとって、このギャップはインシデント対応時に現実的な意味を持つ。

パスワード・リセットのギャップ

Windowsシステムは、オフライン・ログオンをサポートするためにパスワード・ハッシュをローカルにキャッシュします。デバイスがドメインに再接続していない場合、以前のクレデンシャルをまだ使用可能な形で保持している可能性がある。ハイブリッド環境では、新しいパスワードがEntra IDに同期されるまでに少し時間がかかることもあります。

これは、パスワードのリセット後に 3 つの状態が発生する可能性があることを意味します:

1.1. AD に接続している間に、ユーザが新しいクレデンシャルでログインした。キャッシュされたクレデンシャル・ストアが更新され、古いハッシュが無効になる。

2.ユーザはリセット以降、特定のマシンにログインしていない。古いキャッシュされたクレデンシャルは、特定の認証試行ではまだ使用可能である。

3.ハイブリッド展開では、パスワードは AD でリセットされたが、新しいハッシュはまだ Entra ID に同期されていない。古いパスワードは、パスワードハッシュの同期期間中も認証できる場合があります。

SpecopsパスワードポリシーでActive Directoryのパスワードを保護する

Verizonのデータ漏洩調査レポートによると、漏洩の44.7%に盗まれた認証情報が関与しています。

準拠したパスワードポリシーでActive Directoryを簡単に保護し、40億件以上の漏洩パスワードをブロックしてセキュリティを強化し、サポートの手間を削減します!

無料でお試しください

攻撃者がギャップを突く方法

キャッシュされた認証情報

攻撃者は、平文のパスワードの代わりにハッシュそのものを使用するpass-the-hashのような方法で、キャッシュされたパスワード・ハッシュを利用します。ハッシュがリセットの前にキャプチャされていた場合、パスワードを変更してもどこでもすぐに無効になるわけではありません。

AD環境を防御するためには、このような暴露を制限することが極めて重要です。Specops uResetのようなソリューションは、エンドユーザーIDの検証を実施することで、リセットの悪用リスクを低減し、セキュアなセルフサービス・パスワード・リセットを可能にします。

uResetをSpecops Clientと組み合わせると、リセットが実行されたデバイス上のローカル・キャッシュ・クレデンシャル・ストアを直ちに更新し、そのエンドポイントで古いハッシュが使用可能なままであるウィンドウを閉じることができます。

これにより、IDドリフトを完全に除去することはできませんが、企業のノートPCやリモートシステムが頻繁に狙われるネットワークエッジでの露出を減らすことができます。

Specops uReset
Specops uReset

アクティブ・セッション

AD認証は主に、一定期間有効なKerberosチケットによって処理されます。ユーザーまたは攻撃者がすでに有効なチケットを持っている場合、パスワードを再入力することなくリソースへのアクセスを継続できます。

つまり、アクティブなセッションを持つ攻撃者は、パスワードが変更された後でも認証されたままである。場合によっては、そのウィンドウは追加の永続性を確立したり、横方向に移動するのに十分な長さです。

ログオフ、リブート、またはチケットのパージによって、セッションが明示的に無効にされない限り、リセッ トされた後もアクセスは続く可能性があります。

サービスアカウント

ユーザ・アカウントとは異なり、サービス・アカウントは長期間のパスワードを持つ傾向があり、クリティカルなシス テムに関連する高位の特権を持ちます。攻撃者はKerberoastingのような技術によってこれらの認証情報を公開したり、ネットワーク内を横方向に移動する際に発見することができます。

これらのアカウントは実行中のサービスと結びついているため、特に中断のリスクがある場合、すぐにリセットされる可能性は低い。そのため、最初のアクセス・ポイントが閉鎖された後、攻撃者にとっては信頼できるフォールバックとなる。

チケット攻撃

前述したように、Kerberos認証プロトコルを使用する環境では、アクセスはパスワードの繰り返しチェックではなく、チケットによって制御される。攻撃者がこれらのチケットを偽造することができれば、有効な認証情報はまったく必要ありません。

ゴールデン・チケット攻撃は、Kerberosチケット付与チケット・アカウントを侵害することで可能となり、攻撃者はドメイン内のどのユーザーに対しても有効なチケット付与チケットを作成することができる。シルバーチケットはより標的を絞ったもので、ドメインコントローラーに接触することなく特定のサービスへのアクセスを許可する。

どちらの場合も、これらの攻撃は効果的にパスワード変更をバイパスする。ユーザーのパスワードをリセットしても、偽造されたチケットは無効にならず、根本的な問題に対処するまでアクセスは継続できる。

アクセス許可

ADはアクセス制御リスト(ACL)に大きく依存している。攻撃者が侵害されたアカウント(または彼らがコントロールする新しいアカウント)に、他のユーザーのパスワードをリセットするなどの権限を与えた場合、彼らは事実上バックドアを作成したことになります。元のパスワードが変更されたとしても、これらの権限は残っている。

さらに、AdminSDHolderによって保護されたアカウント(ドメイン管理者のような)は、特定のテンプレートから権限を継承する。AdminSDHolder オブジェクトの ACL を変更する攻撃者は、SDProp によってそのパーミッションが毎時間再適用されるようにすることができる。

攻撃者を確実に削除する方法

パスワードがリセットされてから AD と Entra ID 間で同期されるまでの時間はわずかで、通常は数分である。例えば、ADの変更通知をオンにしたり、Entra IDテナントへの同期を手動で開始したりすることで、より頻繁な同期を強制することも可能です。

しかし、ギャップは依然として存在し、アカウントの侵害が発見されるまでに、攻撃者はさらなる足がかりを築いている可能性があります。パスワードのリセットだけでは不十分な場合、防御者はアクセスを完全に遮断することを検討する必要がある。

そのためには、すでに有効になっているものを無効にすることから始める。アクティブなセッションを終了させ、影響を受けたシステムのログオフや再起動を強制することで、Kerberosのチケットをクリアする必要がある。より深刻な侵害の場合、偽造されたチケットを無効にするために、KRBTGTアカウントを(2回)リセットすることがしばしば必要となる。

次に、標準的なユーザーアカウント以外のクレデンシャルの衛生管理である。サービス・アカウントのパスワードは、特に昇格した権限を持つものはローテーションされるべきであり、エンドポイント上にキャッシュされた認証情報は、システムの再接続時にクリアされるべきである。

同様に重要なのは、ディレクトリ自体で何が変更されたかを確認することである。つまり監査です:

  • グループメンバーシップ
  • 委任された権限と ACL
  • 特権アカウントとロール

パスワードに頼ることなくアクセスを再確立できる可能性のあるものを探す。

深刻な違反の場合、退去を保証する単一のステップはない。セッションを遮断し、正しい認証情報をローテーションし、隠れたアクセス・パスが残っていないことを確認することの組み合わせである。

今すぐADをセキュアに

ADを堅牢化するには、すべてのアカウントを強力なパスワードで保護し、悪用の機会を制限する安全なリセットプロセスを組み合わせる必要があります。

Specopsはこの2つの作業を支援し、パスワードのリセットが新たなギャップを生むのではなく、セキュリティを強化することを確信させます。

スペコプスのソリューションがお客様のアイデンティティ・セキュリティ戦略をどのようにサポートするか、デモをご予約ください。

Specops Softwareがスポンサーとなり、執筆しました。