Microsoft Defender for IdentityによるWindows Bronze Bit攻撃の検出について

news

Microsoftは、セキュリティオペレーションチームがCVE-2020-17049として追跡されているWindows Kerberosセキュリティバイパスバグを悪用しようとする攻撃を簡単に検出できるようにするため、Microsoft Defender for IdentityにBronze Bit攻撃検出のサポートを追加する作業を行っていると発表しました。

Microsoft Defender for Identity(旧称:Azure Advanced Threat ProtectionまたはAzure ATP)は、オンプレミスのActive Directoryシグナルを活用したクラウドベースのセキュリティソリューションです。

https://www.microsoft.com/en-us/security/business/threat-protection/identity-defender

このソリューションにより、SecOpsチームは登録した組織を標的とした危険な高度な脅威、アイデンティティ、悪意のあるインサイダー活動を検出し、調査することができます。

この脆弱性(マイクロソフトは2020年11月のパッチチューズデーでパッチを適用)は、発見者であるセキュリティコンサルタントのJake Karnes氏が「Kerberos Bronze Bit攻撃」と名付けた方法で悪用される可能性があります。

マイクロソフトは、Bronze Bitの脆弱性に対して、12月8日に初期展開フェーズ、2月9日に自動実施フェーズという2段階の段階的な展開で対処しました。

マイクロソフト社がCVE-2020-17049パッチを発行してから1ヶ月後、Karnes社は概念実証(PoC)のエクスプロイトコードと、その使用方法の全詳細を公開しました。

CVE-2020-17049: Kerberos Bronze Bit Attack - Practical Exploitation
This post is an overview of the practical exploitation of the Bronze Bit attack (CVE-2020-17049) in a Windows Active Directory environment.

このエクスプロイトは、Kerberosの委任保護を回避することができ、攻撃者は特権を拡大したり、標的となるユーザーになりすましたり、侵害された環境内で横方向に移動したりすることができます。

同氏は、Kerberosプロトコルに関する追加情報を含む低レベルの概要を共有しており、実用的なエクスプロイトのシナリオや、脆弱なサーバーに対するKerberos Bronze Bit攻撃の実装および使用に関する詳細も含まれています。

これらの追加情報とPoCエクスプロイトが公開されたことで、CVE-2020-17049に対応していないWindowsサーバへの侵入が非常に容易になったと思われます。

PrintNightmareとZerologonの攻撃検出も可能に

マイクロソフトは、2020年11月にZerologonの悪用検知機能を含めた後、7月には「Microsoft Defender for Identity」にPrintNightmareの悪用検知機能のサポートも追加しました。

どちらも重要なセキュリティ脆弱性で、PrintNightmare(CVE-2021-34527)は、攻撃者がドメイン管理者に特権を昇格させることで影響を受けるサーバーを乗っ取ることができ、Zerologon(CVE-2020-1472)は、特権を昇格させてドメインコントローラーのアカウントを偽装し、ドメイン全体の完全な制御につながることがあります。

PrintNightmareの脆弱性を利用したランサムウェア「Magniber」が登場:韓国に侵入か

Vice Society、Conti、Magniberなどのランサムウェアグループを含む複数の攻撃者が、PrintNightmareを悪用して、パッチが適用されていないWindowsサーバを危険にさらしています。

また、国家の支援を受けた脅威グループも、金銭的な動機を持った脅威グループも、10月末から9月にかけてZeroLogonの脆弱性に対してパッチが適用されていないシステムを悪用しており、その後も以下のような脅威グループが加わっています。

  • イランの支援を受けたハッキンググループ「MuddyWater」(別名:SeedWorm、MERCURY)
  • ランサムウェア「Clop」の配信経路を提供していることで知られるTA505(別名Chimborazo)
  • 中国のAPT10と呼ばれるハッカーたち

また、7月には、「Defender for Identity」のアップデートを実施し、セキュリティオペレーション(SecOps)チームが、感染したユーザーのActive Directoryアカウントをロックすることで、攻撃を阻止できるようにしました。

Defender for Identityは、Microsoft 365 E5にバンドルされていますが、まだサブスクリプションをお持ちでない方は、Security E5のトライアルを入手して、これらの機能を試してみることもできます。

Microsoft
Microsoft Commercial Signup

Comments

タイトルとURLをコピーしました