Black Hat 2021:Microsoft 365 への攻撃がワイルドになる可能性について

Incident Responders Explore Microsoft 365 Attacks in the Wild

2021/08/06 DarkReading — BLACK HAT 2021 – Microsoft 365 は、サイバー犯罪者にとってホットなターゲットであり、セーフガードを回避して企業データにアクセスする新たな方法が、常に模索されている。そして、防御側がゲームを強化すると、攻撃側も同じことを行う。

Mandiant の Manager of Professional Services である Josh Madeley は、「APT の危険性を秘めたクラウド」と題したブリーフィングの中で、「この1年で、国家をバックにした脅威アクターが、Microsoft 365 のデータにアクセスする新しい方法を開発するために、時間と資金の大きく投入していることが証明された。これらの攻撃者が特に関心を持っているのは、多くの組織がデータを保存し、共同作業を行うための Microsoft 365 があるからだ。電子メール、SharePoint、OneDrive、Power BI などのアプリケーションには、攻撃者にとって貴重な情報が豊富に含まれている。諜報活動を目的とした脅威アクターであれば、Microsoft 365 は聖杯のようなものだ」と述べている。

この講演では、Mandiant の Incident Response Manager である Doug Bienstock も登壇し、過去1年間に観測された大規模なスパイ活動から得られた教訓を紹介した。彼らが目にしたテクニックは、監査やロギングなどのセキュリティ機能の無効化や、従来からの手口によるデータ窃取の自動化、新しい手口による企業アプリケーションの悪用というものだ。また、SAML や Active Directory Federation Services を悪用した、アクセスの維持という問題も見つかった。

冒頭、Madeley は、検知を回避するための方法について説明した。攻撃者はデータの修正には興味がないと言う。攻撃者の目的は、データの修正ではなく、データを盗み、それを検証し、理解することだ。そのために、ステルスの手法があるが、その戦術を攻撃者は改善し、防御者に捕捉されるのを困難にしようと試みている。その方法のひとつが、セキュリティ機能を無効にすることだ。Microsoft 365 では、すべてのドメイン管理者が監査ログにアクセスできるが、E5 サブスクリプションを購入した組織は、高度な監査にアクセスできる。

MailItemsAccessed という機能があり、24時間以内のメール・アイテム・オブジェクトとのやりとりを記録し、それ以降はスロットルが設定される。この機能は、企業のメールボックスを狙う攻撃者にとって問題だと、Madeley は指摘する。そして、この問題を回避する方法を見つける必要が生じた。Madeley は Set-MailboxAuditBypassAssociation について、「テナント内で、このコマンドレットの実行の有無を監視するとよいだろう」と述べている。

組織がデータ窃取を監視している場合、攻撃者の標的となる受信箱がログに記録されていなければ、悪意の活動を見逃す可能性がある。その反対に、ロギングをバイパスするための効率的な方法は、重要なユーザーのライセンスを E5 から E3 にダウングレードすることだ。それにより、多くのユーザーが日常的に使用する機能に影響を与えることなく、MailItemsAccessed のログを無効にできる。彼は、「このように、テナントに管理者権限を与えれば、長期的なデータ窃盗を可能にするための変更を行える。実にシンプルな手法だ」と付け加えた。

メールボックス・フォルダに関するパーミッションの乱用

メールボックスの委任に代わるものとして、メールボックスのフォルダ権限の乱用が挙げられる。メールボックス内では、所有者、管理者、フルアクセス権限を持つアカウントが、メールボックス内の特定のフォルダへのアクセスを許可する権限を、他のユーザーに与えることができる。具体的には、カレンダーの共有、チーム・メールボックスの使用、管理者のアシスタントによる特定フォルダへのアクセス許可などの、数多くの正当な使用例がある。「メールボックスやテナントに対する十分な権限を取得した攻撃者は、管理者と同様に、これらの権限を変更し、フォルダの内容にアクセスできる」とMadeley は述べている。

この、2017年に Black Hills Security が文書化した古い手法だが、今でも有効だ。最近、インシデント・レスポンス・チームが気づいたのは、高度な手法を用いる APT アクターが、メールボックスを標的とするアクセスの手段を失い、メールボックスのフォルダ権限を悪用する、この昔からの方法に戻ってきたことだ。彼は、「さらに興味深かったのは、この方法に攻撃者が頼ったとき、我々が調査を行っていたので、環境に変更が加えられなかったことだ。つまり、それらの変更はずっと前に行われたことを意味する」と述べている。

攻撃者が最終的に狙うのは、ReadItems 権限を持つロールである。ReadItems 権限は、特定のフォルダ内のメールアイテムを読むための、アクセスを許可するものだ。このパーミッションを持つロールには、Author / Editor / NonEditingAuthor / Owner / PublishingEditor / PublishingAuthor / Reviewer などがある。Madeley によると、特に Reviewer は、攻撃者による使用が、彼のチームで検知されているという。テナント内のユーザーに加えて、2つの特別なユーザーが存在する。それは、匿名ユーザー、つまり外部の認証されていないユーザーと、デフォルト、つまり全員のユーザーである。後者は、内部の認証済みユーザーを含むが、デフォルトでは、両方のユーザータイプのアクセスは「なし」に設定されている。しかし、それを攻撃者は利用する。

Madeley は、デフォルトのユーザーを Reviewer ロールに割り当て、あらゆる認証されたユーザーから、メールボックス・フォルダにアクセスできるようにした攻撃者を目撃している。既存のフォルダの場合、権限は「子」から「親」へと連鎖しないが、新しく作成されたフォルダは権限を継承する。これは Set-MailboxFolderPermission コマンドレットを使用して、簡単に行うことが可能だと、彼は指摘している。攻撃者は、有効なアカウントを使って、ある程度のアクセス権を維持する必要があるが、この修正により、標的となる特定のアカウントへのアクセス権を、毎日または毎週のように維持する必要がなくなる。それ代わり、1つのアカウントで10個のメールボックスにアクセスし、フォルダのアクセス権を変更することが可能になる。

Microsoft 365 は、とても便利なサービスであり、エンタープライズ向けのライセンスも整備されているので、すでに導入している企業や、導入を検討している企業が多いことかと思います。また、それらの企業には大手も多いことから、脅威アクターたちのターゲットになりやすいはずです。「Microsoft 365 の新機能による侵害されたオンプレ AD アカウントのロックの実現」や「CISA がリリースするツールが危殆化された Microsoft 365 を救う」などのポストもありますので、よかったら、ご参照ください。

%d bloggers like this: