操作が許可されている
説明
ソースのセキュリティプリンシパルは、ターゲットコンピューターで Kerberos リソースベースの制約付き委任を実行することが許可されています。これは、ターゲットコンピューターで実行されている任意のサービスに Kerberos で認証するときに、任意のユーザーになりすます可能性があることを意味します。
したがって、多くの場合、ターゲットコンピューターが完全に侵害される恐れがあります。
この攻撃は、リソースベースの制約付き委任 (RBCD)、Kerberos リソースベースの制約付き委任 (KRBCD)、リソースベースの Kerberos 制約付き委任 (RBKCD)、および「他の ID の代わりに操作が許可されている」などと呼ばれています。
悪用
ソースのセキュリティプリンシパルを侵害した攻撃者は、Rubeus などの専用のハッカーツールを使用して正当な Kerberos プロトコル拡張 (S4U2self と S4U2proxy) を悪用し、Kerberos サービスチケットを偽造し、ターゲットユーザーになりすます可能性があります。攻撃者は、たいてい特権ユーザーになりすまして特権アクセスを取得します。
攻撃者がサービスチケットを偽造すると、Kerberos と互換性のある任意のネイティブ管理ツールや特殊なハッカーツールを使用して、リモートで任意のコマンドを実行できるようになります。
悪用は、次の制約が満たされている場合に成功します。
-
ソースおよびターゲットのセキュリティプリンシパルに ServicePrincipalName が設定されていること。設定されていない場合、Tenable Identity Exposure はこの攻撃関係を作成しません。
-
なりすましの標的となるのは、「機密であり委任できない」(UserAccountControl の ADS_UF_NOT_DELEGATED) とマークされておらず、「保護されたユーザー」グループのメンバーでもないアカウントです。なぜなら、Active Directory が委任攻撃からこのようなアカウントを保護しているからです。
修正方法
ソースセキュリティプリンシパルにターゲットコンピューターで Kerberos リソースベースの制約付き委任を実行するアクセス許可が必要ない場合は、そのアクセス許可を削除する必要があります。「委任が許可されている」委任攻撃の関係の場合とは逆に、ターゲット側で変更を行う必要があります。
「Active Directory ユーザーとコンピューター」などの既存のグラフ管理ツールでは、RBCD を管理できません。代わりに PowerShell を使用して、msDS-AllowedToActOnBehalfOfOtherIdentity 属性の中身を変更する必要があります。
次のコマンドを使用して、ターゲットでの操作が許可されているソースセキュリティプリンシパルをリスト表示します (「アクセス」セクション)。
Get-ADComputer target -Properties msDS-AllowedToActOnBehalfOfOtherIdentity | Select-Object -ExpandProperty msDS-AllowedToActOnBehalfOfOtherIdentity | Format-Listリスト内のセキュリティプリンシパルのいずれも必要でない場合は、次のコマンドですべて消去できます。
Set-ADComputer target -Clear "msDS-AllowedToActOnBehalfOfOtherIdentity"1 つのセキュリティプリンシパルをリストから削除するだけでよい場合は、残念ながら Microsoft はダイレクトコマンドを提供しておらず、削除する 1 つのセキュリティプリンシパルを除いた同じリストで属性を上書きする必要があります。たとえば、「sourceA」、「sourceB」、「sourceC」がすべて許可されており、「sourceB」のみを削除したい場合は、次のコマンドを実行します。
Set-ADComputer target -PrincipalsAllowedToDelegateToAccount (Get-ADUser sourceA),(Get-ADUser sourceC)最後に、一般的な推奨事項として、機密の特権アカウントがそのような攻撃にさらされるのを制限するために、 Tenable Identity Exposure は「機密であり委任できない」(ADS_UF_NOT_DELEGATED) としてマークするか、関連する運用上の影響を注意深く検証したうえで「保護されたユーザー」グループに追加することを推奨します。
関連項目