UNIX 上の Active Directory が攻撃能力を持つまでの経緯
Black Hat Europe での講演
に備えて、EMEAR のセキュリティ アドバイザリ から、いくつかの一般的な Active Directory 統合ソリューションについての最近の調査に関する背景情報を共有します。Windows の場合と同様、これらのソリューションによって、UNIX インフラストラクチャを企業の Active Directory フォレストに参加させることができます。
ACTIVE DIRECTORY 統合ソリューションの背景情報
顧客の既存の Active Directory に独自の UNIX インフラストラクチャが統合される件数の増加を受けて、「この状況は、十分に理解されていない懸念事項を提起していないだろうか?」という疑問が出てきました。この疑問はまもなく、「攻撃者が UNIX に侵入して、ドメインを侵害できるとしたらどうなるるだろうか?」というものに変わりました。
標準的な Active Directory 統合ソリューション(この場合は SSSD )には、Windows の場合と顕著な類似点があります。特に顕著なものは以下のとおりです。
- DNS:名前解決に使用
- LDAP:「1 回限りの識別情報」とアイデンティティのアサーションに使用
- Kerberos:継続的な認証に使用
- SSSD:LSASS と同類
- PAM:msgina.dll や最新の資格情報プロバイダーと同類
このプロセスの内訳はここから 確認できます。Windows とは異なり、大部分でグループ ポリシーがありません(一部の例外を除く)。したがって、Sudo などのポリシーは通常フラットファイルとしてホストにプッシュされます。
Portcullis Labs の調査
現実的に考えて、実装の各部分に関連する脅威モデルは、Windows の異種ネットワークの保護に従事する人なら誰でも精通しているはずです。さまざまな業種のお客様と仕事をしてきて、Windows および Active Directory であまり経験を積んでいない一般的な UNIX 管理者はこの脅威に対処するための十分な装備ができないということが明らかになりました。LSASS や Kerberos のようなコンポーネントに対する攻撃の成功例についてはかなり前から取り上げてきましたが、Mimikatz は 2014 年 4 月に、ハッシュのダンピングについてはそれ以前にまで遡ります。ローカルの Windows ハッシュをダンプする Pwdump は 1997 年に Jeremy Allison によって公開されました。しかし、これらの攻撃が UNIX インフラストラクチャで可能かどうかについてや、どうすればブルーチーム(セキュリティ チーム)がこのような攻撃に気づくことができるかについて、誰も協力して調べようとしませんでした。
この調査の結果、Portcullis Labs は攻撃者による企業の侵害を手助けする作戦、ツール、手順を開発することに成功し、ブルー チームがこのような侵害を妥当な方法で検出して対処するための適切な戦略の文書化および開発に着手しました。この講演のプレゼンテーション、および作戦、ツール、手順は、Blackhat EU talk の後で入手可能になります。同資料は、ここから 、また Portcullis Labs の GitHub リポジトリ でも入手できるようになります。
Tags:本稿は 2018年12月4日に Talos Group
