Windows Server と NTLM リレー攻撃:脆弱性 ShadowCoerce は密かに修正されたのか?

Microsoft quietly fixes ShadowCoerce Windows NTLM Relay bug

2022/07/05 BleepingComputer — Microsoft は、May 2022 Update において、Windows サーバを標的とした NTLM (Windows New Technology LAN Manager) リレー攻撃を可能にする脆弱性 ShadowCoerce を修正した。この NTLM リレー攻撃は、パッチ未適用のサーバを、自身の支配下にあるサーバに対して強制的に認証させることで、Windows ドメインを乗っ取るというものだ。この問題は非公開であるが、BleepingComputer が Microsoft の広報担当者に確認したところ、「MS-FSRVP coercion abuse PoC (ShadowCoerce) は、同じコンポーネントに影響を与える、脆弱性 CVE-2022-30154 への対策で緩和された」とのことだ。

BleepingComputer が Microsoft に報告をしたのは、ACROS Security の CEO である Mitja Kolsek が、0Patch チームとのマイクロパッチ発行のための調査を行っている最中に、ShadowCoerce が密かに修正されたことを発見した後のことだった。この脆弱性が、Microsoft により修正されたのは良いことではあるが、彼らはまだ詳細を公にしておらず、CVE ID もまだ割り当てられていない。そのため、セキュリティ企業や研究者たちは Microsoft に対して、修正内容の詳細を公開するよう求めている。


RPC ベースのプロトコル乱用でドメイン乗っ取りを実現

この脆弱性 ShadowCoerce は、2021年末に、セキュリティ研究者の Lionel Gilles による PetitPotam 攻撃に関するプレゼンテーションで発見された。幸い、この攻撃方法は、File Server VSS Agent Service が有効なシステムでのみ、MS-FSRVP (File Server Remote VSS Protocol) 上で認証が可能になるというものだった。

MS-FSRVP は Remote Procedure Call (RPC) ベースのプロトコルであり、リモートのコンピュータ上に、ファイル共有シャドウ・コピーを作成するために使用される。Gilles が示しているように、このプロトコルは NTLM リレー攻撃に対して脆弱であり、攻撃者はドメイン・コントローラを、自身のコントロール下にある悪意のある NTLM リレーに対して認証させることができる。

脅威アクターは、認証要求をドメインの Active Directory Certificate Services (AD CS) に中継/転送し、Kerberos Ticket Granting Ticket (TGT) を取得することで、Windows ドメイン・コントローラを含む、あらゆるネットワークデバイスになりすますことが可能になる。ドメイン・コントローラへのなりすましに成功した脅威アクターたちは、Windows ドメインを乗っ取るための、昇格した特権を得ることになる。

しかし、このような攻撃を行うには、すでに脅威アクターによるネットワーク侵害が完了し、標的となるサーバ上で関連サービスが実行され、アクセス可能になっていることが必要となる。

NTLM リレー攻撃と緩和策

リモートのサーバに対して、NTLM リレー認証を要求する脅威アクターたちは、MS-RPRN や MS-EFSRPC (PetitPotam) プロトコルなどの、様々な方法を用いることができる。

2022年5月に Microsoft は、頻繁に悪用される Windows LSA Spoofing ゼロデイ CVE-2022-26925 (後にPetitPotam の亜種であることが確認された) を修正し、全てのバージョンの Windows で強制認証による権限昇格に対処している。その一方で、RPC インターフェース上で Windows Distributed File System (DFS) の管理を可能にするプロトコル MS-DFSNM を悪用する、 DFSCoerce Windows NTLMリレー攻撃には依然として対処していない。

6月にセキュリティ研究者の Filip Dragovic は、Windows ドメインへのアクセスが制限されているユーザーをドメイン管理者にするために、任意のサーバに対して認証を中継できる DFSCoerce の PoC スクリプトを公開している。

DFSCoerce の詳細について尋ねられた Microsoft は、「DFSCoerce 攻撃を阻止するために、多要素認証を有効にし、全ての有効なセキュリティ更新プログラムを直ちにインストールするよう推奨している」と述べている。BleepingComputer に対し、セキュリティ研究者や専門家たちも、このような攻撃を防ぐには、PetitPotam NTLM リレー攻撃の緩和に関する、Microsoft の勧告に従うのが最善の方法だと述べている。

推奨される緩和策としては、Active Directory Certificate Services サーバ上の Web サービスの無効化/ドメイン・コントローラ上の NTLM の無効化の他に、Windows の認証情報を保護するための Extended Protection for Authentication と署名機能 (SMB 署名など) の有効化などが挙げられている。

Windows Server と NTLM リレー攻撃ですが、最初に登場したのは 5月10日の NTLM ゼロデイ脆弱性によるドメイン乗っ取りの話しで、そこに 5月14日の PetitPotam Windows NTLM リレー攻撃と、6月21日の DFSCoerce という新たな NTLM リレー攻撃が続くという経緯があります。それを誘発する脆弱性として、ShadowCoerce という名が登場しましたが、6月21日の DFSCoerce と同じものを指すようです。NTLM リレー攻撃 については、まだ、捉え方が曖昧なところがありますが、続報を追いかけ、明確なイメージをつかめるようにしたいと考えています。