PDQ Deploy Vulnerability Exposes Admin Credentials: CERT/CC Issues Advisory
2024/12/12 SecurityOnline — システム管理者が使用するソフトウェア・デプロイメント・サービスである、PDQ Deploy に存在する深刻な脆弱性が、最近の CERT/CC アドバイザリで強調されている。この脆弱性は、デプロイメント・プロセス中に生じる、安全が確保されない管理者の資格情報の取り扱いに起因する。その結果として、潜在的なラテラル・ムーブメント攻撃や、広範なネットワーク侵害にいたる可能性があるという。
PDQ Deploy では、ネットワーク内のターゲット・デバイスにソフトウェアを展開するために、さまざまな “run mode” が用いられる。
これらのモードの1つである “Deploy User” run mode は、デプロイメント中において、ターゲット・マシン上に一時的な資格情報を作成しする。CERT/CC は、「これらの資格情報は、ソフトウェア・ファイルのデプロイメント後に、デバイスから削除されるものである。ただし、対象デバイスにアクセスできる攻撃者であれば、Mimikatz などのパスワード・ツールを用いて、削除される前の資格情報を侵害できる」と説明している。
これらの資格情報を侵害した攻撃者には、対象デバイスの管理者アクセスを取得する可能性が生じる。さらに、侵害された資格情報が、Active Directory を介して、ネットワーク内のデバイス間で共有されるケースも想定される。したがって、それをラテラル・ムーブメントに悪用する攻撃者が、他のシステムを侵害することもあり得る。
このアドバイザリには、「PDQ Deploy のデプロイメント・プロセスには、対象デバイスとの接続の確立から、デプロイメント後のサービスの削除にいたるまでの、複数のステップが含まれている。したがって、対象デバイスにアクセスできる攻撃者であれば、デプロイメント・プロセス中に、Mimikatz などのパスワードダンプ・ツールを用いて、それらの資格情報をダンプできる」と記されている。
ドメイン。アカウントを用いるデプロイメントでは、この脆弱性に対して、特に周囲する必要がある。なぜなら、これらの資格情報は静的なものであり、また、複数のデバイス間で共有されるものだからだ。
この脆弱性が悪用されると、以下のような結果にいたる可能性がある:
- 管理者資格情報の窃取:デプロイメント・ユーザーの資格情報を抽出する攻撃者は、侵害したデバイス上の高レベルの権限を取得できる。
- 横方向への移動:Active Directory を介して、攻撃者はネットワーク内を移動し、同じ資格情報を用いるデバイスを侵害できる。
- 広範なネットワーク侵害: これらの資格情報の悪用により、機密性の高いシステムやデータへの不正アクセスが達成され、広範囲におよぶ損害へといたる可能性がある。
この脆弱性に対処するために、CERT/CC が推奨する対策は、以下の通りである:
PDQ Deploy コンフィグの確認:PDQ Deploy のベスト・プラクティスと安全なコンフィグ・ガイドラインについて、システム管理者は PDQ Deploy Web サイトの How-to-Guides を参照する必要がある。
LAPS (Local Administrator Password Solution) の使用:それぞれのマシンで用いられるパスワードを、定期的に更新することで、リスクを軽減できる。
代替デプロイメント・モードの使用:“Logged on User” デプロイメント・モードでは、ドメイン/ローカル資格情報を用いたサービスが作成されないため、この脆弱性を回避できる。ただし、このモードは、PDQ Deploy Enterprise でのみ使用可能であり、また、デプロイメント中にユーザーによる入力を必要とする。
PDQ Deploy に脆弱性が発生しています。ご利用のチームは、ご注意ください。この製品は、システム管理者によるサイレント・インストールを、複数の Windows コンピュータに対して同時に添加する、デプロイメント・ツールとのことです。そのプロセス中に、資格情報が接種される恐れがあるとのことです。加えて、Active Directory との組み合わせが、甚大な被害をもたらす可能性が懸念されます。
IoT OT Security News 
You must be logged in to post a comment.