キー認証情報の追加

説明

ソースのセキュリティプリンシパルは、キー認証情報または「シャドー認証情報」としても知られるキー信頼アカウントマッピングを悪用することで、ターゲットになりすます可能性があります。

なりすましが可能なのは、ソースがターゲットの msDS-KeyCredentialLink 属性を編集するアクセス許可を持っているためです。

通常、Windows Hello for Business (WHfB) がこの機能を使用しますが、使用されていない場合でも攻撃者はこれを悪用することができます。

悪用

ソースのセキュリティプリンシパルを侵害した攻撃者は、Whisker や DSInternals などの特殊なハッカーツールを使用して、ターゲットコンピューターの msDS-KeyCredentialLink 属性を編集しなければなりません。

攻撃者の目標は、このターゲットの属性に、自分たちがプライベートキーを持っている新しい証明書を追加することです。その後、Kerberos PKINIT プロトコルを使用し、持っているプライベートキーを使ってターゲットとして認証し、TGT を取得できます。このプロトコルは、攻撃者がターゲットの NTLM ハッシュをフェッチすることも許可してしまいます。

修正方法

ネイティブで特権を持ついくつかのセキュリティプリンシパル (アカウントオペレーター、管理者、ドメイン管理者、エンタープライズ管理者、エンタープライズキー管理者、キー管理者、システムなど) には、デフォルトでこのアクセス許可があります。これらの正当なセキュリティプリンシパルには、修正は必要ありません。

この属性を変更する正当な理由のないソースセキュリティプリンシパルの場合は、上記のアクセス許可を削除する必要があります。「すべてのプロパティの書き込み」、「msDS-AllowedToActOnBehalfOfOtherIdentity の書き込み」、「フルコントロール」などのアクセス許可を検索します。

関連項目