この記事は、Senior Director of Product Management である Iva Blazina Vukelja によるブログ「How to Prevent Cyber Actors from Bypassing Two-Factor Authentication Implementation
」(2022/3/15)の抄訳です。
2022 年 3 月 15 日、米国政府の速報で、国家に支援されたサイバーアクターが、PrintNightmare 脆弱性(CVE-2021-34527)と組み合わせて特定の認証ワークフローを悪用し、Windows ドメインコントローラの管理アクセスを獲得したことが説明されました。管理者アクセスが確立されると、攻撃者は二要素認証(2FA)の設定を変更し、最終的には2FAをバイパスしてクラウドストレージサービスにアクセスできるようになりました。
このシナリオは、Duo のソフトウェアやインフラの明らかな脆弱性やそれを利用したものではなく、2FA(この場合は Duo 2FA)と Windows ネイティブ認証ワークフローの設定を組み合わせて利用するものでした。このシナリオは、Duo の管理パネルにあるポリシー設定によって緩和することができます(詳細は以下の推奨事項のセクションをご覧ください)。Duo は、設定が現在のビジネスとセキュリティのニーズを満たしていることを確認するために、設定を見直すことをお勧めします。
どのようにしたら妥協できるのか?
米国政府機関の速報によると、サイバーアクターは、2FA デバイスを登録していないユーザーの主要な認証情報へのアクセスを得ることができたそうです。その後、サイバーアクターは、自身の 2FA デバイスを登録することができました。登録後、彼らは新たに登録した認証デバイスを使用して、Duo Authentication for Windows Logon がインストールされた Windows システムを侵害しました。Windows にログインすると、脅威者はパッチが適用されていない PrintNightmare の脆弱性(CVE-2021-34527)を悪用して管理者権限を取得し、Duo のクラウドサービスから 2FA コールをリダイレクトして、クラウドサービス内の被害者のファイルにアクセスするために 2FA を効果的に迂回させました。
妥協の影響は?
報告された事件の影響は、脅威者が被害者のクラウドストレージおよび電子メール環境にアクセスすることでした。
新規および再訪問ユーザーに対して 2FA の自己登録 (self-enrollment) を許可することは、業界標準となっています。すべての主要な 2FA プロバイダーは、追加措置なしに、未登録ユーザーの登録をデフォルトで許可しています。その理由は、セキュリティを確保すると同時に、IT サポートとエンドユーザーの摩擦を減らすためです。
お客様には、すぐにアカウント状況を確認されることをお勧めします。Duo 管理者は、Duo 管理パネルにログインして Duo 認証ログレポートを実行すると、過去 180 日間の新しいデバイスの登録を含むすべての認証が表示されます。
さらに、180 日以降も認証ログにすぐにアクセスできるような戦略やシステムを構築することをお勧めします。お客様は、SIEM コネクターやAdmin API を使用して、サードパーティーシステムに常に認証ログを取り込むことができます。また、管理画面から 180 日分のログを CSV/JSON にエクスポートするよう、カレンダーにリマインダーを設定することもできます。
情報漏えいを防ぐために必要なこととは?
今回の脅威者のシナリオでは、業界標準であり、当社のお客様やユーザーにとってメリットが実証されている設定を利用しました。このような事態に直面した場合、いくつかのアプローチがあります。以下に、いくつかの推奨事項と、お客様やユーザーにとって最適な方法でこれらの推奨事項を実施するための詳細手順へのリンクを示します。
一般的なベストプラクティス
- 複雑または強力なプライマリユーザーパスワードを要求する
- パスワードロックアウトの設定により、パスワードのブルートフォース攻撃を防ぐ
- すべてのシステムに最新のセキュリティパッチを適用する。
- ファイルの完全性監視を利用し、ドメインコントローラー上のファイルが変更された場合にアラートを設定する。
Duo を推奨するポイント
信頼できるアプリケーションの数が少ない場合は自己登録 (self-enrollment) を許可し、それ以外の場合は新規ユーザーポリシーのデフォルト設定を「登録を要求する (Require Enrollment)」から「アクセスを拒否する (Deny Access)」に変更します。新規ユーザーポリシーの設定を変更するには、このガイドに従ってください。
- 設定可能なフェイルモードを持つ Duo アプリケーションが Duo のサービスに連絡できない場合に、「フェイルクローズド」または「フェイルセキュア」に設定することを検討します。例:Windows ログオンコンソールおよび RDP ログインのフェイルモードを設定するにはどうすればよいでしょうか?
Authors