概要：Active Directoryサイトの新たな脅威

セキュリティ研究者たちは、企業ネットワークインフラの重要でありながら見過ごされがちなコンポーネントであるActive Directoryサイトを標的とする危険な攻撃ベクトルを発見しました。Quentin Roland氏による最近の技術分析によると、攻撃者はADサイト内のACLベースの攻撃パスを悪用して特権を昇格させ、潜在的にドメイン全体を侵害する可能性があります。この発見は、これまで攻撃的セキュリティコミュニティの注目をほとんど集めていなかった重大なセキュリティギャップを浮き彫りにしています。

Active Directoryサイトは、地理的に分散した組織におけるネットワークパフォーマンスと帯域幅の使用を最適化するために設計されています。これらのサイトは、高度に接続されたサブネットをグループ化し、認証およびレプリケーショントラフィックを効率的に処理するためにドメインコントローラーを割り当てます。これらの機能は重要な運用目的を果たしますが、ほとんどのセキュリティチームが過小評価してきた隠れた攻撃対象領域も生み出しています。

攻撃の仕組み

この脆弱性は、サイトがアクセス制御リスト（ACL）に関連付けられる可能性があり、不適切に構成されている場合、攻撃者がドメイン間で横方向に移動することを可能にするために存在します。研究者たちは、サイトがフォレスト内の複数の異なるドメインからのクライアントとドメインコントローラーを含むことができることを特定しました。このクロスドメイン関係が、洗練された特権昇格シナリオの基盤となります。

攻撃者は、サイトベースのACLを悪用して、Active Directory環境内で昇格された特権を獲得できます。サイト構成を操作し、グループポリシーオブジェクト（GPO）の悪用技術を活用することで、攻撃者は従来のセキュリティアラートをトリガーすることなくドメイン間を移動できます。この攻撃は、ほとんどの組織がサイトをセキュリティ上重要なコンポーネントではなく、運用インフラとして扱っているため、特に効果的です。

この悪用方法は、フォレスト内での横方向の移動中にSIDフィルタリング構成をバイパスすることを可能にする、文書化されているもののあまり知られていない技術に依存しています。これは、セグメンテーション制御が導入されている組織でさえも脆弱なままである可能性があることを意味します。攻撃者が単一のサイトを侵害すると、フォレスト全体のリソースへのアクセス権を潜在的に取得します。

推奨される対策とBloodHoundの活用

セキュリティ研究者たちは最近、人気のActive Directory攻撃パス可視化ツールであるBloodHoundに改善を提出し、組織がこれらの脆弱性を特定するのに役立てています。これらの機能強化により、ITチームは攻撃者が悪用する前にサイトACL攻撃パスを列挙および視覚化できます。BloodHoundを使用する組織は、サイト構成をマッピングし、リスクの高い権限割り当てを特定できるようになりました。

企業セキュリティチームは、Active Directoryサイトの構成と関連する権限を直ちに監査する必要があります。地理的に分散した環境を持つ組織は、すべてのサイト関連オブジェクトのACL設定のレビューを優先すべきです。さらに、最新のBloodHoundアップデートを実装することで、インフラ内の潜在的な攻撃パスを特定するのに役立ちます。

この発見は、Active Directoryのセキュリティ脅威がドメインコントローラーやユーザーアカウントを超えて広がっていることを改めて示しています。サイトのような物理的なネットワークインフラコンポーネントは、環境全体を侵害するために悪用される可能性があります。広範なActive Directoryフォレストを管理する組織は、サイトのセキュリティを最優先事項として扱い、脅威モデリングにサイトベースの攻撃ベクトルを含める必要があります。

元記事: https://gbhackers.com/attackers-exploit-active-directory-sites/