Latest evidence-based health information
Sitemap
Apps

マイクロソフトのActive Directoryの重大な設計欠陥により、パスワードの変更が可能になる可能性がある

Otpoo
Otpoo xumh
マイクロソフトのActive Directoryの重大な設計欠陥により、パスワードの変更が可能になる可能性がある
マイクロソフトのActive Directoryの重大な設計欠陥により、パスワードの変更が可能になる可能性がある

イスラエルのセキュリティ企業によると、マイクロソフト社が広く利用しているネットワークアクセス仲介用ソフトウェアには重大な設計上の欠陥があるが、マイクロソフト社はこの問題は以前から知られており防御策は講じられていると主張している。

アオラト社は公開情報を利用し、攻撃者が個人のネットワークパスワードを変更し、他の機密システムへのアクセスを可能にする可能性のある概念実証攻撃を作成したと、同社の研究担当副社長タル・ベエリー氏は述べた。

「我々が議論しているような、攻撃者がパスワードを変更できるという悲惨な結果は、まったく知られていなかった」とベエリー氏は火曜日の電話インタビューで語った。

フォーチュン500企業の約95%がActive Directoryを使用しているため、この問題は「極めてデリケート」だとAoratoはブログに書いている。

同社の研究は、Microsoftが長年段階的に廃止を進めてきた認証プロトコルであるNTLMに焦点を当てています。Windows XP SP3より前のバージョンのWindowsでは、NTLMがデフォルトで使用されており、新しいバージョンのWindowsでも、後継プロトコルであるKerberosとの組み合わせでNTLMと互換性があります。

NTLM は、いわゆる「pass-the-hash」攻撃に対して脆弱です。この攻撃では、攻撃者がコンピューターのログイン資格情報を取得し、その資格情報の数学的表現 (ハッシュと呼ばれる) を使用して他のサービスやコンピューターにアクセスできます。

これは最も一般的な攻撃手法の一つです。なぜなら、それ自体には価値のないデータを保存するコンピューターが、より機密性の高いシステムへのアクセスを可能にする可能性があるからです。米国に拠点を置く小売業者ターゲットは、ハッカーがサプライヤー経由でネットワークにアクセスしたことで、この種の横方向の移動によるデータ侵害の被害に遭いました。

Pass-the-Hash攻撃は、シングルサインオンシステム(SSO)における長年知られた脆弱性です。ハッシュはシステム上のどこかに一定期間保存する必要があるためです。SSOに対応する他のオペレーティングシステムも、この脅威の影響を受けます。

SSO を無効にすると問題は解決しますが、ネットワーク上のユーザーは他のシステムにアクセスするためにパスワードを繰り返し入力する必要があり、不便です。

「それはトレードオフだ」とベエリー氏は語った。

Aoratoは、攻撃者がWCEやMimikatzなどの公開されている侵入テストツールを使用してNTLMハッシュを盗み出すことができると主張しています。同社は、攻撃者がユーザーのパスワードを任意のものに変更し、RDP(リモートデスクトッププロトコル)やOutlook Webアプリケーションなどの他のサービスにアクセスする方法を示す概念実証ツールを開発しました。

一部の企業ではNTLMプロトコルの使用を制限し、Kerberosを優先させようとしていますが、攻撃者はNTLMハッシュを使用するより弱い暗号化プロトコルであるRC4-HMACを使用して、クライアントにActive Directoryへの認証を強制することができます。このNTLMハッシュはKerberosによって受け入れられ、新しい認証チケットが発行されます。

Microsoft は、NTLM のセキュリティ問題の一部を回避するために Kerberos を実装しましたが、Kerberos は RC4-HMAC と連携して古いシステムとの互換性を確保しています。

同社にすぐにコメントを求めたが、連絡が取れなかった。同社は2012年の技術論文でNTLMの脆弱性を認めていた。

暗号化

マイクロソフトは5月に、NTLMハッシュの窃取を困難にする改善を含むパッチをリリースしました。同社はまた、組織に対し、スマートカードを使用するか、すべてのドメインコントローラでKerberos RC4-HMACのサポートを無効にすることを推奨していますが、これにより一部の機能が損なわれる可能性があります。

Be'ery 氏は、Active Directory の不具合により NTLM にダウングレードしてしまう可能性があり、組織がそれを停止することが困難になると述べた。

「それは実際には現実的な解決策ではない」と彼は言った。

たとえば、ユーザーが名前ではなく IP アドレスを使用してネットワーク リソースにアクセスしようとしている場合、組織が最新バージョンの Windows を使用していても、Active Directory は NTLM を使用する、と Be'ery 氏は述べた。

Aorato 氏は、パスワードの変更に使用された暗号化アルゴリズムを指定するなど、悪意のある動作を示唆する可能性のあるイベントのログ記録に関しては、さらに多くの対策を講じる必要があると主張しています。

「Windowsは比較的詳細なKerberosイベントログシステムを構築していましたが、関連する攻撃情報を表示できませんでした」と同社は記している。「その結果、ログには何か怪しいことが起こっていることを示す兆候が欠けています。」

Otpoo

Health writer and researcher with expertise in evidence-based medicine and healthcare information.

Recommended Reading

Lenovo ThinkBook Plus Gen 5レビュー:WindowsとAndroidを1台に

Lenovo ThinkBook Plus Gen 5レビュー:WindowsとAndroidを1台に

サムスン、WiMAX端末を発表、TouchWizインターフェースをアップデート

サムスン、WiMAX端末を発表、TouchWizインターフェースをアップデート

RCAのAndroidタブレットにデュアルデジタルTVチューナー搭載

RCAのAndroidタブレットにデュアルデジタルTVチューナー搭載

You Might Also Enjoy

Thunderboltドックがなぜこんなに入手困難なのか?電気自動車のせいだ

Thunderboltドックがなぜこんなに入手困難なのか?電気自動車のせいだ

見逃せないSteamサマーセールのおすすめ情報

見逃せないSteamサマーセールのおすすめ情報

調査:携帯電話をこれまで以上に長く使い続けている

調査:携帯電話をこれまで以上に長く使い続けている

Popular Articles

MSIのStealth 15MゲーミングノートPCは、Tiger Lake、RTX、そして超高速PCIe 4.0 SSDを搭載しています。
Googleドライブで低コストで生産性を高める方法
Thunderboltドックがなぜこんなに入手困難なのか?電気自動車のせいだ
サムスン、WiMAX端末を発表、TouchWizインターフェースをアップデート
調査:携帯電話をこれまで以上に長く使い続けている

Categories

Trending Topics

Health Nutrition Fitness Wellness Mental Health Diet Medical Research