サイバーニュース.jp

世界のサイバーなニュースを配信

Active Directoryがドメイン参加アカウントの誤設定により危険に晒される

カテゴリ:

Active Directoryの脆弱性:ドメイン参加アカウントの危険性

ドメイン参加アカウントが、Microsoftの公式ガイダンスに従っていても、過剰なデフォルト権限によりエンタープライズ環境を危険に晒していることが明らかになりました。包括的なセキュリティ分析により、これらの特殊なアカウントがデフォルトで過剰な権限を継承し、攻撃者が内部ネットワークから完全なドメイン制御にアクセスを昇格させる直接的な経路を作り出していることが判明しました。

セキュリティ評価において、ドメイン参加アカウントはActive Directory環境を侵害するための最も信頼性の高いエントリーポイントの一つであることが証明されています。

攻撃経路の詳細

これらのアカウントは、コンピューターオブジェクトを作成し、マシンをドメインに参加させるために必要な昇格された権限を持つ標準ユーザーアカウントとして機能します。しかし、その設計には、既存の強化ガイダンスでは適切に対処できない複数の重大な脆弱性が存在します。

根本的な問題は、オペレーティングシステムの展開中に始まります。ヘルプデスクの技術者が新しいラップトップを開き、PXE経由で起動し、Windows 11のインストールを開始すると、システムは展開プロセスに埋め込まれたドメイン参加アカウントのプレーンテキストパスワードを受け取ります。攻撃者は、起動中にF12を押すだけで、この特権的な資格情報にアクセスできます。これらのパスワードを含む構成ファイルは、PXEシーケンス、unattend.xmlファイル、MDTスクリプト、構成管理ツールなど、複数の場所に存在します。

ドメイン参加アカウントがActive Directoryでコンピューターオブジェクトを作成すると、そのオブジェクトの所有者となります。これにより、攻撃者は自身に完全な制御を割り当て、LAPSパスワードの開示リソースベースの制約付き委任の悪用、およびシャドウ資格情報の悪用を実行できます。管理者がコンテナーレベルで「すべてのプロパティの読み取り」権限を削除した後でも、新しく作成されたコンピューターオブジェクトは、デフォルトのセキュリティ記述子を通じて作成者所有者に読み取り機能を自動的に付与し、ms-Mcs-AdmPwd属性を介したLAPSパスワードの抽出を可能にします。

必須のセキュリティ強化策

組織は、以下の3つの不可欠なセキュリティ制御を実装する必要があります。

  • マシンアカウントクォータの制限をゼロに設定する:

    Set-ADDomain -Identity test.local -Replace @{ 'ms-DS-MachineAccountQuota' = 0 } -Verbose

  • LAPSパスワード保護のために拒否ACEを適用する:

    $entity = "domainjoin"

    $guid = "ad27bc2b-cf04-424d-b705-5df50c7d5d37"

    $adRights = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty

    $accessControlType = [System.Security.AccessControl.AccessControlType]::Deny

    $identityReference = New-Object System.Security.Principal.NTAccount($entity)

    $ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($identityReference, $adRights, $accessControlType, (New-Object Guid $guid))

  • リソースベースの制約付き委任の悪用をブロックする:

    $entity = "domainjoin"

    $guid = "3f78c3e5-f79a-46bd-a0b8-9d18116ddc79"

    $adRights = [System.DirectoryServices.ActiveDirectoryRights]::WriteProperty

    $accessControlType = [System.Security.AccessControl.AccessControlType]::Deny

    $ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($identityReference, $adRights, $accessControlType, (New-Object Guid $guid))

Microsoftの対応と今後の課題

Microsoftの対応は遅れ、2021年10月にはセキュリティアップデートの発行を当初拒否したため、管理者は何年もの間、未検証の情報源に頼らざるを得ませんでした。しかし、Microsoftは最終的に2025年8月に公式ガイダンスを公開し、これらの権限管理の複雑さを認めました。

効果的な保護には、所有者の再割り当て、拒否権限の実装、クォータ制限など、複数の制御を重ねて適用する必要があります。セキュリティチームは、機能性と高度な攻撃チェーンとのバランスを取り、ドメイン参加アカウントのセキュリティがチェックボックスベースのコンプライアンスアプローチではなく、継続的なコミットメントを必要とすることを認識しなければなりません。

元記事: https://gbhackers.com/active-directory-at-risk-due-to-domain-join-misconfigurations/

投稿をさらに読み込む