記事本文(要約)
Windows Server 2025における重大な脆弱性が発見されました。この脆弱性は、Active Directory(AD)上で任意のユーザーの権限をエスカレートすることが可能で、AkamaiのYuval Gordonが「BadSuccessor」という手法でこの脆弱性を特定しました。脆弱性の原因は、新しいdMSA(delegated Managed Service Account)機能における権限移行の不備にあります。Microsoftはこの問題を「中程度の深刻度」と評価しており、パッチはまだリリースされていないため、組織は予防的措置を講じる必要があります。対策として、dMSAの作成および管理権限を持つユーザーを信頼できる管理者に限定し、権限の監視や監査を行うことが推奨されています。Akamaiは、dMSAを作成できるすべてのプリンシパルを示すPowerShellスクリプトを提供しています。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 21 May 2025 16:01:24 GMT
Original URL: https://www.darkreading.com/vulnerabilities-threats/unpatched-windows-server-flaw-threatens-active-directory-users
詳細な技術情報
この報告書に基づくセキュリティ分析を以下に示します。
CVE番号
Microsoftがこの脆弱性に対する公式なCVE番号を発行していないため、CVE番号は現在存在しません。将来的に発行される可能性があります。
脆弱性の仕組み
脆弱性は、Windows Server 2025に導入された「dMSA(delegated Managed Service Account)」機能における権限ハンドリングの不具合に起因します。dMSAは、既存の非管理サービスアカウントをシームレスにdMSAに変換するために設計されており、このプロセス中にアカウント権限の移行が不適切に行われます。具体的には、KDC(Key Distribution Center)が、dMSAに適用されるmsDA-ManagedAccountPrecededByLink属性を利用して権限を引き継がせる際に権限が不当に拡大されます。
攻撃手法
アカマイの研究者が開発した「BadSuccessor」という手法を用いると、攻撃者はdMSAオブジェクトを通じて任意のActive Directoryユーザーに昇格し、ドメイン全体を制御することが可能となります。具体的には、攻撃者は任意の組織単位(OU)にある無害な権限を利用して、この脆弱性を活用して権限を昇格させることができます。
潜在的な影響
- ドメインの完全な妥協: 攻撃者は重要なシステムやデータにアクセスし、横方向の移動を制限なく行うことが可能になります。
- データ窃盗やランサムウェア攻撃の助長: 実際の攻撃において、Active Directoryの権限昇格は、データの窃盗や広範なランサムウェアの展開の前段階として利用されることがあります。
- 組織全体の情報漏洩と深刻な運用停止リスク: ドメイン内のセンシティブな情報にアクセスできることから、情報漏洩のリスクが高まります。
推奨される対策
- dMSAの管理を厳しく制限: dMSAオブジェクトの作成と管理に関与する権限を持つユーザーやグループを限定し、信頼できる管理者のみにこれらの権限を与えること。
- 権限の監査とログ管理: dMSAの作成、属性設定、認証の監査を強化し、変化を定期的にレビューする。
- 防御策の強化: トラステッドユーザー以外がdMSAを作成しないよう制限するために、既存および新しく作成されるアカウントの管理権限を再評価する。
- 暫定的な制限策の実施: dMSAの作成を制限するPowerShellスクリプトや、監査ポリシーの設定を活用して権限拡大を防止。
- Microsoftによる正式なパッチが提供されるまで監視を続ける: パッチが提供されるまで、脆弱性の検出手段と暫定的な緩和策を有効化し、適用する。
