出典: Cybrain via Adobe Stock Photo
Windows Server 2025における簡単に悪用可能な欠陥により、攻撃者が権限を昇格させ、任意のActive Directory(AD)ユーザーの権限を取得することが可能です。この欠陥は、ADに存在する新しいタイプのサービスアカウントの権限処理の不手際に起因しており、Microsoftによってまだ修正されていません。
Akamaiの研究者Yuval Gordonがこの脆弱性を発見し、Windows Server 2025で導入された委任された管理サービスアカウント(dMSA)機能を悪用するものだと報告しています。Gordonの報告によれば、この欠陥はサーバーのデフォルト設定に存在し、「実装が容易」です。
この問題は、dMSAの主要な機能が既存の非管理サービスアカウントをシームレスにdMSAに変換して移行することを許可するために発生します。移行メカニズムは一見よく設計されているように見えましたが、さらなる調査により、移行をシームレスにするためにアカウント間で権限がどのように移行されるかに起因する欠陥が明らかになりました、とGordonは報告で説明しています。
Akamaiの研究者たちは、この欠陥を悪用するための技術を「BadSuccessor」と名付け、組織のWindows Server 2025ドメインがdMSAを全く使用していない場合でも、任意のADユーザーをターゲットにすることができると述べています。
「この機能が存在する限り、少なくとも1つのWindows Server 2025ドメインコントローラー(DC)があるドメインでは、[この欠陥]がデフォルトで利用可能になります」とGordonは報告に書いています。「この攻撃を実行するために攻撃者が必要とするのは、ドメイン内の任意の組織単位(OU)に対する無害な権限だけです。この権限はしばしば見過ごされがちです。」
関連:NISTの「LEV」方程式でバグが悪用された可能性を判断
Akamaiはこの欠陥をMicrosoftに報告し、研究者たちは報告で脆弱性の詳細を明らかにすることができました。しかし、Microsoftはこれを「中程度の深刻度」の欠陥と評価し、「現時点では即時対応の基準を満たしていない」とGordonは報告に書いています。「したがって、組織はこの攻撃への露出を減らすために他の積極的な対策を講じる必要があります。」
dMSAに潜む危険
DMSAは、Windows Server 2020でソフトウェアのグループ管理サービスアカウント(gMSA)機能の能力を拡張するために登場しました。ユーザーは通常、既存のレガシーサービスアカウントを置き換えるためにdMSAを作成します。古いものから新しいものへのシームレスな移行を実現するために、dMSAは移行プロセスを通じてレガシーアカウントの権限を「継承」します。
「この移行フローは、dMSAを置き換えるべき元のアカウントに緊密に結びつけます」とGordonは書いています。欠陥は、移行後にキー配布センター(KDC)—認証とチケット発行プロセスが権限移行を容易にする—がdMSAに元のアカウントのすべての権限を付与するために発生します。
関連:Virgin Media 02の脆弱性が通話受信者の位置を露出
デザインの観点からは、新しいアカウントが古いものと同じように振る舞うことを可能にするシームレスなプロセスを提供するために「これは理にかなっています」が、セキュリティの観点からは問題があります、とGordonは指摘しています。
さらに、KDCは、どのアカウントがdMSAに置き換えられるかを決定するために、単一の属性、msDA-ManagedAccountPrecededByLinkに依存しています。この属性を悪用することで、攻撃者はこの欠陥を利用して権限を昇格させることができるとAkamaiは述べています。
BadSuccessorは、dMSAオブジェクトを制御するWindows Serverユーザーがドメイン全体を制御でき、アカウント保持者と同じ権限を持つことを可能にする経路を提供します。
「この脆弱性を悪用する攻撃者は、実質的にドメイン全体の妥協を達成します。ネットワーク全体で機密情報にアクセスし、重要なシステムやエンドポイントへの特権アクセスを得て、制限なく横移動することができます」とGordonはDark Readingに語っています。「現実の攻撃では、攻撃者がActive Directoryで権限を昇格させることは、データの盗難や組織全体にランサムウェアを展開するような重大な事件の前に一般的な最初のステップとしてよく見られます。この脆弱性は、そのレベルのアクセスへの近道を攻撃者に提供します。」
さらに、この技術は攻撃者が制御する既存のdMSAアカウントだけでなく、新たに作成されたアカウントでも使用できます。つまり、ドメインがdMSA機能を使用していなくても、攻撃者はこの欠陥を悪用することができます。
リスク検出と潜在的な緩和策
Gordonは、この欠陥が4月1日に発見され、MicrosoftがAkamaiの脆弱性報告に4月30日に対応したと述べています。Microsoftのエンジニアは現在パッチに取り組んでいますが、リリースのタイムラインは明らかにされていません。
この欠陥は、過度に許可されたシステムがセキュリティホールを生むことを示す明確なケースであるため、組織は自らの脆弱性を評価し、必要であれば緩和策を講じる努力をする必要があります、とGordonは報告で指摘しています。さらに、25年の歴史を持つソフトウェアであるにもかかわらず、Active Directoryは依然として脅威アクターの主要な攻撃対象であり、この欠陥の緩和はさらに緊急性を増しています。
全体的なルールとして、組織はWindows Server 2025のdMSAを作成する能力や既存のものを制御する能力を他の機密操作と同じレベルの注意を払って扱うべきです。「権限を管理するこれらのオブジェクトは厳しく制限され、変更は定期的に監視および監査されるべきです」とGordonは書いています。
より具体的な検出方法を用いて、この欠陥を緩和する必要があるかどうかを判断することができます。これには、Windows Serverの設定の次の側面に焦点を当てることが含まれます:dMSAの作成の監査、属性設定の監視、dMSA認証の追跡、および権限のレビュー。
正式なパッチがリリースされるまで、防御策は「dMSAの作成能力を制限し、可能な限り権限を厳しくすること」に焦点を当てるべきです、とGordonは書いています。防御者は、すべてのプリンシパル、すなわちユーザー、グループ、コンピュータなど、ドメイン全体でdMSAを作成する権限を持つ者を特定し、その権限を信頼できる管理者のみに制限することでこれを行うことができます。
例えば、Akamaiは、dMSAを作成できるすべての非デフォルトのプリンシパルを列挙し、各プリンシパルがこの権限を持つOUをリストするPowerShellスクリプトを作成しました。