記事本文(要約)
Akamaiのセキュリティチームが、Windows Server 2025の未修正の特権昇格の脆弱性「BadSuccessor」の詳細なエクスプロイト情報を公開し、議論を呼びました。この脆弱性はActive Directory内の任意のユーザーを危険にさらす可能性があります。Akamaiの研究者Yuval Gordonは、Microsoftがこのバグを中程度の重要度と評価したことに異議を唱えました。
この問題は、Windows Server 2025で導入された新しいアカウントタイプ「委任された管理サービスアカウント(dMSAs)」にあり、Akamaiは、これが組織の単位における「Create-Child」権限を持つユーザーによって悪用され得ることを指摘しています。Microsoftがこの脆弱性を直ちに修正する予定がないことから、Akamaiは詳細情報を公開しました。
公開前の責任ある情報開示についての議論が再燃しており、Akamaiはパッチが存在しない中で、dMSAsを作成できるユーザーを特定する方法などを提供しています。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 22 May 2025 16:55:21 +0000
Original URL: https://www.securityweek.com/akamai-microsoft-disagree-on-severity-of-unpatched-badsuccessor-flaw/
詳細な技術情報
この文章は、AkamaiのセキュリティチームがWindows Server 2025に存在する「BadSuccessor」と呼ばれる特権昇格の脆弱性について詳細を公開したことに関するものです。この脆弱性は、Active Directory内の任意のユーザーを攻撃者が危険にさらす可能性があります。以下にこの脆弱性についての詳細を説明します。
CVE番号
この文章には特定のCVE番号は記載されていません。通常、公開された脆弱性にはCVE(Common Vulnerabilities and Exposures)番号が割り当てられますが、ここでは言及されていないため、まだCVE番号が割り当てられていないか、非公開の可能性が考えられます。
脆弱性の仕組み
問題の所在は、Windows Server 2025に導入された「委任付きマネージドサービスアカウント(dMSA)」にあります。この新しいアカウントクラスは、従来のサービスアカウントの置き換えを目的としていましたが、元のアカウントの特権を継承する仕組みになっており、脆弱性を生む結果となっています。
攻撃手法
攻撃者は、特別な権限を持たない通常のユーザーであっても、OU(組織単位)におけるCreate-Child権限を持っているだけで、新しいdMSAを作成できます。この新規dMSAはドメインコントローラーから正当な承継者として認識され、特権が与えられます。このプロセスには、グループメンバーシップの変更やドメイン管理者グループへのアクセス、疑わしいLDAP書き込みが必要ないため、従来の特権昇格アラートを回避することができます。
潜在的な影響
この脆弱性は、少なくとも一部のユーザーがCreate-Child権限を持っている91%の環境で悪用可能であり、ドメイン全体のユーザーを危険にさらす可能性があります。具体的には、DCSync攻撃に用いられる「Replicating Directory Changes」特権と同等の権限を得ることが可能です。結果として、ドメイン内のユーザーの権限を乗っ取るなどの重大な影響を引き起こすリスクがあります。
推奨される対策
この脆弱性に対する公式なパッチがまだ提供されていないため、暫定的な対策として以下の方法が推奨されます:
- Create-Child権限の監査と制限:組織内の全てのOUでCreate-Child権限を持っているアカウントを特定し、必要に応じて権限を除去する。
- 監視と検知:Akamaiが提供している検知クエリやスクリプトを用いて、dMSAを作成できる権限を持つアカウントのログを監視する。
- ログの可視性強化:セキュリティログの設定を見直し、不審な活動の早期発見に努める。
- マイクロソフトへの働きかけ:早急なパッチの提供を求めるフィードバックを行う。
