Dive Brief
組織は、急速に広まりつつある難読化手法の痕跡がないか、ログを確認すべきだとProofpointは述べています。
Dive Brief:
- 攻撃者がOAuthクライアントIDを詐称し、標的組織のユーザーディレクトリに関する情報を収集するハッキングキャンペーンに対して、企業は警戒すべきだと、セキュリティ企業のProofpointが月曜日に発表しました。
- 同社は、「独自のツール、インフラ、実行パターンを持つ複数の大規模キャンペーンで、詐称されたOAuthアプリケーション識別子が悪用されている」ことを確認したとしており、これは複数の脅威アクターがそれぞれ独立してこの手法を採用していることを示しているとしています。
- レポートでは、組織がこの偵察手法を検知するためにネットワークをどのように監視すべきかが説明されています。
Dive Insight:
Microsoft Entraは、この大手テック企業が提供するID管理サービスで、ログに記録された侵入試行の情報は、防御側が侵害された可能性のあるアカウントや悪意あるIPアドレスを特定する手がかりになります。これに対抗する形で、ハッカーは自らの活動や発信元を隠蔽する方法を編み出してきました。そしてProofpointによると、ここ数か月で攻撃者はその「回避的な手口」を新たな段階に引き上げているといいます。
OAuthクライアントIDは、どのアプリケーションがユーザーデータへのアクセスを試みているかをMicrosoft Entraに伝える役割を担っています。クライアントIDを偽装することで、ハッカーはEntraが信頼する正規のアプリケーションを実際に運用することなく、Entraデータベースからユーザー名とパスワードの情報を収集できてしまいます。
「詐称されたクライアントIDを使えば、登録済みのOAuthアプリケーションがなくてもアカウント列挙が可能になり、サインインの成功イベントを発生させることなく、パスワードとアカウントの有効性の両方を攻撃者が推測できてしまいます」とProofpointは説明しています。
セキュリティチームは通常、特定のEntra連携アプリケーションに対する活動の急増をEntraログで監視しています。詐称されたクライアントIDを使う手口は、Entraのログ上でアプリケーション欄が空欄になるため、こうした傾向ベースの監視をすり抜けるのに役立ってしまいます。
「観測されたこのログ動作により、未認証の攻撃者はサインインの成功イベントを発生させることなく、ユーザーを列挙し、パスワードの有効性を推測できてしまいます」とProofpointはレポートで述べています。「たとえ列挙行為自体が検知されたとしても、防御側は有効な認証情報が特定されたことに気づかず、侵害された認証情報の存在を完全に見落としてしまう可能性があります」
この手法はさらに、もう一つの防御策も回避します。特定の重点対象アプリケーションに適用される条件付きアクセスポリシーです。「詐称されたクライアントIDは、特定のアプリケーションに絞った[条件付きアクセス]ポリシーを発動させません」とProofpointは述べています。
同社のレポートでは、この難読化手法を用いた2つのキャンペーンが説明されています。1つ目は1月に開始されたもので、もう1つは前年12月に開始されたものです。1月のキャンペーンでは、70万件を超える詐称IDを使い、約4,000の組織にまたがる100万件以上のユーザーアカウントに関する情報が収集されました。12月のキャンペーン(2月に第2波が発生)ははるかに大規模で、370万件の詐称IDを使い、200万人を超えるユーザーを標的にしていました。
「独自のツールとインフラを持つ複数のキャンペーンが出現していることは、この手法がクラウド環境を狙う脅威アクターの間で広く採用されつつあることを示しています」とProofpointは述べています。
同社は企業に対し、アプリケーションIDが空欄のサインイン試行がないかEntraログを監視するとともに、認識不能なアプリケーションIDに関連付けられたEntraのエラーコード「AADSTS700016」にも注意するよう呼びかけています。
翻訳元: https://www.cybersecuritydive.com/news/microsoft-entra-user-enumeration-bypass-proofpoint/825052/