The Hacker Newsは8月8日(現地時間)、「Understanding Active Directory Attack Paths to Improve Security」において、Active Directoryに対して行われた3つのサイバー攻撃の経路を解説し、これをセキュリティ向上に役立てるように促した。
The Hacker NewsはActive Directoryへの3つの攻撃について、次のように解説している。
- ケース1: ドメイン内のすべてのユーザーに、パスワードをリセットする権限が誤って付与されていた。攻撃者がフィッシングやソーシャルエンジニアリングによって内部に侵入した場合、ほかのアカウントのパスワードをリセットし、管理者を含めすべてのアカウントを取得できる
- ケース2: グループポリシーオブジェクト(GPO: Group Policy Object)のgPCFileSysPathを変更する権限を持つユーザーグループを使用して、悪意のあるポリシーに差し替えることでドメイン管理者権限を取得する。1人の非特権ユーザーの認証情報をフィッシングやソーシャルエンジニアリングで取得、侵入することでドメインを侵害できる
- ケース3: ユーザーをグループに追加する権限をもつユーザーの認証情報を取得・侵入し、攻撃者自身をActive Directoryのヘルプデスクグループに追加する。ヘルプデスクグループはほかのユーザーのパスワードをリセットする権限を持っているため、管理者のパスワードをリセットし管理者アカウントを取得できる
これら事例から、攻撃者はユーザーに与えられた権限を使って他の権限を取得・補強していき、目的を達成するために必要な権限または管理者の権限を取得することがわかる。Active Directoryのユーザー管理においては、権限の影響を慎重に検討してから権限を与える必要がある。
ケース3のように知らなければ予想が難しいものもあるが、過去の事例を調査することである程度知識を補強できると考えられ、これら事例も有効に活用することが望まれる。
