サイバーニュース.jp

世界のサイバーなニュースを配信

新Kerberosリレー攻撃、DNS CNAME悪用で既存の防御を迂回

カテゴリ:

概要:Kerberos認証に新たな脅威

Windows Kerberos認証において、DNS CNAMEレコードを悪用することで、既存の防御を迂回する新しい認証情報リレー攻撃手法が発見されました。この脆弱性は「CVE-2026-20929」として追跡されており、攻撃者は被害者に対し、攻撃者が制御するシステムへのKerberosサービスチケットを強制的に要求させることが可能になります。これにより、NTLM認証が無効な環境であっても、水平展開や特権昇格が容易になります。

  • CVE ID: CVE-2026-20929
  • 脆弱性名: DNS CNAME悪用によるKerberos認証リレー
  • 影響を受けるシステム: Windows 10, Windows 11, Windows Server 2022, Windows Server 2025
  • 深刻度: 深刻 (Critical)

攻撃の仕組み:DNS CNAMEの悪用

この脆弱性は、Windows Kerberosクライアントが認証プロセス中にDNS Canonical Name (CNAME) レコードを処理する方法を悪用します。Windowsシステムがサービスに接続する際、ホスト名を解決するためにDNSルックアップを実行します。攻撃者がこのDNSクエリを傍受し、悪意のあるCNAMEレコード(攻撃者が選択したホスト名と攻撃者のIPアドレスを含むAレコードを指すもの)で応答すると、Windowsクライアントは元のサービスではなく、CNAMEホスト名をサービスプリンシパル名 (SPN) としてTicket Granting Service (TGS) リクエストを構築します。この挙動は、Windows 10, Windows 11, Windows Server 2022, Windows Server 2025を含むデフォルトのWindowsインストール環境のユーザーアカウントに対して確実に対策可能です。

この脆弱性を悪用するには、以下の二つの条件が必要です。一つは、DNSトラフィック傍受のための中間者 (Man-in-the-Middle) の位置を確立すること。もう一つは、署名やチャネルバインディングトークン (CBT) の適用を強制しないKerberos認証を受け入れる標的サービスです。攻撃者は、ARPポイズニングによるゲートウェイへの偽装、DHCPv4ポイズニングによる攻撃者のDNSサーバーアドレスの注入、またはMITM6手法を用いたDHCPv6ポイズニングにより、必要なネットワーク位置を確立できます。

被害者のシステムは自動的に攻撃者が指定したSPNに対するTGSを要求し、それを攻撃者が制御するサーバーに提示します。その後、攻撃者は有効なサービスチケットを本来のターゲットにリレーし、被害者になりすますことに成功します。

プロトコルを跨ぐ攻撃の可能性

調査により、多くのWindowsサービスが、サービスプレフィックスに関係なく、SPNのホスト名部分のみに基づいてTGSチケットを受け入れることが明らかになりました。例えば、SMBサービスはHTTPプレフィックスを持つチケットを受け入れ、HTTPエンドポイントはCIFSプレフィックスを持つチケットを受け入れます。このプロトコルを跨ぐ受け入れは、攻撃機会を劇的に拡大させ、攻撃者がHTTP認証をSMBサービスにリレーしたり、Active Directory Certificate Services (ADCS) のウェブ登録インターフェースを標的として証明書を窃取したりすることを可能にします。

Microsoftの対応と推奨される緩和策

Microsoftは、2025年10月の責任ある開示後にこの挙動を確認しました (Cymulateの報告による)。MicrosoftはCNAME追跡動作を変更する代わりに、2026年1月のセキュリティアップデートで、サポートされるWindows Serverバージョン全体でHTTP.sysへのチャネルバインディングトークン (CBT) サポートを実装しました。

ただし、根本的なCNAME操作機能は変更されていません。セキュリティ専門家は、Kerberos自体がリレー攻撃を防ぐものではなく、保護は個々のサービスレベルで強制される必要があると強調しています。組織は、すべてのサーバーでSMB署名を強制し、HTTP/HTTPSサービスでCBTを義務付け、LDAP署名とLDAPS CBTを要求し、DNSインフラストラクチャを強化し、異常なTGSリクエストを監視する必要があります。

  • プロトコル署名: すべてのサーバーでSMB署名を強制 (SMB, CIFS)
  • チャネルバインディング: すべてのHTTP/SサービスでCBTを義務付け (IIS, ADCS, Web Apps)
  • LDAP保護: LDAP署名とLDAPS CBTを必須とする (Active Directory, LDAP)
  • DNS強化: DoHを実装し、DNS応答者を制限する (すべてのDNSクライアント)
  • 異常検知: 異常なTGSリクエストとCNAME使用を監視する (すべてのKerberosサービス)

元記事: https://gbhackers.com/new-kerberos-relay-technique-exploits-dns-cnames-to-bypass-existing-defenses/

投稿をさらに読み込む