Active Directory の脆弱性:Windows ドメイン・コントローラ乗っ取りの PoC が公開

Active Directory Bugs Could Let hackers Take Over Windows Domain Controllers

2021/12/21 TheHackerNews — Microsoft は、11月に対処した Active Directory ドメイン・コントローラの2つのセキュリティ脆弱性に関して、12月12日に PoC ツールを公開し、パッチを適用するよう顧客に呼びかけている。この2つの脆弱性は、CVE-2021-42278 および CVE-2021-42287 として追跡されており、深刻度を示す CVSS 値は 7.5 であり、Active Directory Domain Services (AD DS) コンポーネントに影響を与える特権昇格の欠陥を示す。この2つのバグを発見/報告したのは、Catalyst IT の Andrew Bartlett である。

Active Directory は、Microsoft Windows Server 上で動作するディレクトリ・サービスであり、ID およびアクセス管理に使用されている。Microsoft は、このバグについて「悪用の可能性は低い」と評価しているが、今回の PoC の公開を受けて、脅威アクターよる悪用の可能性を軽減するために、修正プログラムを適用することが改めて求められる。

CVE-2021-42278 では、Active Directory ドメイン内のシステムに、ユーザーがログインする際に使用される SAM-Account-Name 属性の改ざんが可能となる。CVE-2021-42287では、ドメイン・コントローラになりすますことが可能となる。これにより、ドメイン・ユーザーの認証情報を持つ脅威アクターが、ドメイン管理者ユーザーとしてアクセスすることが事実上可能になる。

Microsoft の Senior Product Manager である Daniel Naim は、「この2つの脆弱性を組み合わせると、攻撃者は、新しいアップデートを適用していない Active Directory 環境において、ドメイン管理者ユーザーへの直接的なパスを作成することが可能となる。このエスカレーション攻撃により、攻撃者はドメイン内の一般ユーザーを侵害した後に、簡単にドメイン管理者の権限に昇格できる」と述べている。

同社は、ユーザー自身の環境で、この脆弱性の悪用の有無を確認するための、ステップ・バイ・ステップのガイドを提供している。Microsoft は、「いつものように、可能な限り早急に、ドメイン・コントローラに最新のパッチを適用することを強く推奨する」と述べている。

この2つの脆弱性の、CVE-2021-42278 と CVE-2021-42287 ですが、どちらも11月10日に新規の情報として公開され、12月22日に PoC エクスプロイトの追加が公開されていました。また、9月30日の「Microsoft Azure AD に新たな脆弱性:ブルートフォース攻撃が成立する?」や、や11月18日の「Microsoft Azure AD の深刻な脆弱性 CVE-2021-42306 がユーザーに通知される」なども、よろしければ ご参照ください。

%d bloggers like this: