Tenable Identity Exposure は、アイデンティティの肥大化を抑え、攻撃者が攻撃経路を悪用する前に防御を固めて攻撃経路を遮断する機能を備えた、アイデンティティセキュリティポスチャーマネジメント (ISPM) ツールです。Active Directory や、Entra ID、Okta などのクラウドアイデンティティプロバイダーを継続的に分析し、設定ミス、過剰な権限、リスクの高い信頼関係を発見します。リアルタイムの露出インジケーターと攻撃インジケーターにより、Tenable はハイブリッド環境全体のアイデンティティリスクを詳細に可視化し、侵害状況が拡大する前に、最重要項目から優先的に対処できるようにします。
DCShadow は、後期段階の別の kill chain 攻撃です。この攻撃では、特権認証情報を持つ攻撃者が、ドメインレプリケーションによりドメインに任意の変更 (例: 禁止されている sidHistory 値を適用する) をプッシュするために、ローグドメインコントローラーを登録します。
ローカル管理者グループが、おそらく BloodHound/SharpHound を使用して、SAMR RPC インターフェースで列挙されました。
Zerologon と呼ばれる脆弱性は、Microsoft から CVSS / 10.0 スコアを受けた Windows Server の重大な脆弱性 (CVE-2020-1472) と関連しています。それは、攻撃者が Netlogon リモートプロトコル (MS-NRPC) を使用して、ドメインコントローラーへの脆弱な Netlogon セキュアチャネル接続を確立する場合に存在する権限の昇格で構成されています。この脆弱性により、攻撃者がドメインを侵害し、ドメイン管理者権限を取得する可能性があります。
Zerologon と名付けられた重大な CVE-2020-1472 は、Netlogon プロトコルの暗号化の欠陥を悪用する攻撃であり、攻撃者は任意のコンピューターと同様にドメインコントローラーを使用して Netlogon の安全なチャネルを確立できます。そこから、ドメインコントローラーアカウントのパスワード変更、強制認証、DCSync 攻撃など、複数の侵入後のテクニックを使用して権限昇格を実現する可能性があります。ZeroLogon エクスプロイトは、実際の Netlogon 偽装認証バイパス (IOA「Zerologon 悪用」により対処済み) を使用した侵入後の活動と混同されることがしばしばあります。このインジケーターは、Netlogon 脆弱性と合わせて利用できる侵入後の活動の 1 つ、すなわちドメインコントローラーマシンのアカウントパスワードの変更に焦点を当てています。
ユーザーがログオンした後、ローカルセキュリティ機関サブシステムサービス (LSASS) のプロセスメモリに保存されている認証情報マテリアルに攻撃者がアクセスしようとすることがあります。
重大度の高い CVE-2021-42287 は、標準アカウントからのドメインの権限の昇格につながる可能性があります。この欠陥は、存在しない sAMAccountName 属性を持つオブジェクトを対象とするリクエストの不適切な処理によって生じます。ドル記号 ($) が見つからない場合、ドメインコントローラーは sAMAccountName 値の末尾にドル記号 ($) を自動的に追加します。これによって、標的のコンピューターアカウントのなりすましが生じる可能性があります。
パスワードスプレーは、よく使われる少数のパスワードを使用して、大量のアカウント (ユーザー名) にアクセスしようとする攻撃です。low-and-slow 方式とも呼ばれます。
NTDS 抽出とは、攻撃者が NTDS.dit データベースを取得するために使用する手法のことです。このファイルには、パスワードハッシュや Kerberos キーなどの Active Directory シークレットが格納されます。一度アクセスできれば、攻撃者はこのファイルのコピーをオフラインで解析し、Active Directory の機密性の高いコンテンツを取得するための DCSync 攻撃に代わる手段が使用できるようになります。
PetitPotamツールを使用すると、ターゲットマシンの認証をリモートシステムに強制し、通常はNTLMリレー攻撃を実行できます。PetitPotam がドメインコントローラーを標的としている場合、攻撃者はドメインコントローラーの認証をリレーする別のネットワークマシンに対して認証を行うことができます。
DPAPI ドメインバックアップキーは、DPAPI シークレットのリカバリに不可欠な要素です。LSARPC コールを使ってドメインコントローラーからこれらのキーを抽出しようとする、さまざまな攻撃ツールが存在します。Microsoft はこれらのキーをローテーションさせたり、変更したりするためのサポートされたメソッドがないことを認識しています。そこで、ドメインの DPAPI バックアップキーが侵害された場合は、新しいドメイン全体を一から作成することを推奨していますが、これにはコストと時間がかかります。
BadSuccessor は、dMSA を悪用する Windows Server 2025 の Active Directory 権限昇格の欠陥であり、攻撃者がアカウントリンクを操作してドメインを侵害する可能性があります。
空のグループや、メンバーが 1 人だけのグループがないことを確認します。
Exchange リソースに影響を与える、または Exchange グループに割り当てられている、安全でない可能性のあるアクセス許可を特定します。
Microsoft がサポートしなくなった古い Exchange サーバーや、最新の累積更新プログラムが適用されていない Exchange サーバーを検出します。
Exchange リソースまたはその基盤となる Active Directory スキーマオブジェクトに影響を与える設定ミスをリストします。
Microsoft Entra ID と同期されているリソースについて、オンプレミスの Active Directory 環境からハイブリッドユーザーやコンピューターなどの情報を収集します。
機密性の高い Exchange グループ内の異常なアカウント
ドメインサービスアカウントの潜在的な設定ミスを表示します。
重複している (競合する) ユーザー、コンピューター、グループがないことを確認します。
「Windows Hello for Business」機能とそれに関連する鍵認証情報のShadow Credentialsバックドアと設定ミスを検出します。