マイクロソフトの証明書サービスを利用した、ADCS NTLMリレー攻撃 PetitPotamの脆弱性についての情報が発覚しました。

 

ドメインコントローラーを乗っ取られるおそれがある攻撃手法「PetitPotam」とのことで、「古典的なNTLMリレー攻撃」の一種としてマイクロソフトは説明をしています。

 

「古典的なNTLMリレー攻撃」ではあるものの、社内でADCSを使用している場合に、悪用される可能性があるということでしょうか。

 

こちらは、ドメインコントローラーにおける認証情報を必要とすることなく、APIより「MS-EFSRPC（Encrypting File System Remote）」を処理する関数「EfsRpcOpenFileRaw」を悪用し、ホストに対して他マシンへの認証を強要することが可能だそうです。

 

情報元はこちら。

Security Update Guide - Microsoft Security Response Center

 

Active Directory証明書サービス（AD CS）に対するNTLMリレー攻撃の軽減
ADV210003

 

 

概要

Microsoftは、Windowsドメインコントローラーまたは他のWindowsサーバーへの攻撃で使用される可能性のあるPetitPotamを認識しています。PetitPotamは古典的なNTLMリレー攻撃であり、このような攻撃は、顧客を保護するための多数の緩和オプションとともに、以前にMicrosoftによって文書化されています。たとえば、Microsoft Security Advisory974926を参照してください。

NTLMが有効になっているネットワークでのNTLMリレー攻撃を防ぐために、ドメイン管理者は、NTLM認証を許可するサービスが認証の拡張保護（EPA）などの保護またはSMB署名などの署名機能を利用することを確認する必要があります。PetitPotamは、Active Directory証明書サービス（AD CS）がNTLMリレー攻撃に対する保護で構成されていないサーバーを利用します。KB5005413で概説されている緩和策は、 そのような攻撃からADCSサーバーを保護する方法をお客様に指示します。

ドメインでNTLM認証が有効になっていて、次のサービスのいずれかでActive Directory証明書サービス（AD CS）を使用している場合、この攻撃に対して潜在的に脆弱です。

認証局のWeb登録
証明書登録We​​bサービス

 

ADCSを導入している場合、WEBサービスなどは有効になっている可能性があるので、早急に対処したほうがよさそうです。