AD Starter Scan-Kerberoasting

high Nessus プラグイン ID 150480

概要

権限のあるアカウントは、Kerberoasting攻撃に脆弱です。

説明

Kerberoastでは、攻撃者がKerberos認証プロトコルの内部を悪用し、一般に権限のあるドメインユーザーアカウントをターゲットにします。この攻撃の目的は権限のあるアカウントの平文パスワードを発見し、関連する権限を取得することです。この攻撃は、Active Directory環境内から行うことができます。攻撃者が必要とするのは、単純な権限のないユーザーアカウントのみです。

サービスプリンシパル名属性がアカウントに設定されると、このアカウントの下層のセキュリティがさらに影響を受けます。通常、パスワードセキュリティポリシーは、数回連続してパスワードエラーが発生した後にアカウントをロックするように構成されています。
ただし、この属性を設定すると、パスワードを推測する機会を枯渇させることが可能になります。

Domain Adminsグループのアカウントなどの権限のあるアカウントは、通常Kerberoastingで標的にされます。これらのアカウントへのアクセス権を取得すると、ドメインが完全に不正アクセスされる可能性があります。

デフォルトでは、このチェックは権限がある無効なアカウントをスキップします。権限のある無効なアカウントもチェックするには、完全なテストを有効にしてください。

注意: AD Starter Scan および関連するプラグインは、予備的な分析を目的とした小規模の AD デプロイメントでの使用を意図しています。ユーザー、グループ、マシンが最大 5000 の AD デプロイメントでは正確な予備分析が期待できますが、Nessus、Security Center、Vulnerability Management を使用した大規模な AD デプロイメントでは不完全な結果が返されます。Active Directory Starter Scan プラグインによって発見された問題の詳細については、このブログの投稿を参照してください- https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

ソリューション

権限のあるアカウントがKerberoast攻撃の影響を受けないことを確認するために、さまざまな手段をとることができます:

-ユーザーアカウントからサービスプリンシパル名を削除
-機能上の理由から、ユーザーアカウントに関連付けられたサービスプリンシパル名が必要な場合は、代わりに権限のないアカウントを使用します
-パスワードの複雑さを強化:
--ユーザーアカウントの代わりにグループ管理サービスアカウント (gMSA) を使用
-- 機密性の高いアカウントにはスマートカードを使用

参考資料

http://www.nessus.org/u?d5c4c81f

https://attack.mitre.org/techniques/T1558/003/

http://gost.isi.edu/publications/kerberos-neuman-tso.html

https://adsecurity.org/?p=3466

プラグインの詳細

深刻度: High

ID: 150480

ファイル名: adsi_kerberoasting.nbin

バージョン: 1.91

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2021/7/29

更新日: 2024/3/27

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

CVSS スコアの根本的理由: Score based on an in-depth analysis by tenable.

CVSS v2

リスクファクター: High

Base Score: 7.1

ベクトル: CVSS2#AV:N/AC:H/Au:S/C:C/I:C/A:C

CVSS スコアのソース: manual

CVSS v3

リスクファクター: High

Base Score: 7.5

ベクトル: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: cpe:/a:microsoft:active_directory

必要な KB アイテム: ldap_enum_person/available, ldap_enum_group/available