Language:
2014年、Kerberosの内部メカニズムを悪用して特権ドメインユーザーアカウントを標的にする、Kerberoastという新しいタイプの攻撃が出現しました。この攻撃の目的は、アカウントのクリアテキストのパスワードを見つけ、関連付けられた権限を取得することです。
この攻撃は、Active Directory環境内部から、シンプルな非特権ユーザーアカウントを使って実行できてしまいます。アカウントに特殊な Active Directory 属性 (the servicePrincipalName
) が設定されている場合、このアカウントの基盤となるセキュリティが影響を受けます。このアカウントのパスワードは推測が可能であり、連続して数回パスワードの入力に失敗するとそのアカウントをロックするような通常のセキュリティメカニズムでは、パスワードに対する網羅的な攻撃を防ぐことはできません。
この攻撃の標的になりやすいのは、高い特権のあるアカウントです (ドメイン管理
グループのユーザーなど)。これらのアカウントを糸口に、非常に短時間でドメインが完全に侵害されてしまいます。そのため、この Kerberos設定の脅威に対抗して保護する必要があります。
Kerberoastingの攻撃インジケーターは、攻撃者がこの脆弱性を悪用しようとした際にセキュリティ担当者に警告することができます。とはいえ、根本的な問題を修正して高い特権のあるアカウントを保護しなければ、完全なドメイン侵害に急速に発展するおそれがあります。
特権アカウントにService Principal Nameを指定しないようにします。
MITRE ATT&CK - Steal or Forge Kerberos Tickets: Kerberoasting
認証シークレットパート2 - Kerberosストライクバック
Sneaky Persistence Active Directory Trick: Dropping SPNs on Admin Accounts for Later Kerberoasting