AkamaiはDHCPサーバを使ったActive Directoryドメインへの新しい攻撃手法を発見した。Microsoftはこの問題に対処する計画がないため、自らの対応が必要となる。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Akamai Technologies(以下、Akamai)は2023年12月21日(現地時間)、「Microsoft Active Directory」(以下、Active Directory)ドメインに対する新しいサイバー攻撃セットについて報告した。
この攻撃は認証情報を必要とせずに重要なDNSレコードを偽造し、最終的に資格情報の窃取やActive Directoryドメインを侵害できるとされている。
このサイバー攻撃に使われるのは、DHCPサーバがクライアントに代わってDNSレコードを動的に更新する「DHCP DNS Dynamic Updates」と呼ばれる機能で、これを悪用することで認証されていない状態で任意のDNSレコードを偽造できる。
Akamaiは、このサイバー攻撃を実行するためのより詳細な技術情報を公開した。同社はDHCP Discover内のブロードキャストの送信やサーバからのOffer応答の検査などを実施し、その設定を学習すること、どのレコードが偽造可能かを調べること、Name Protectionのステータスを推測する方法、DHCP DNS Dynamic Updates設定の推定方法、複数のDNSレコードを偽造する際の問題とその解決方法などを説明している。
Akamaiはこの他、Pythonで開発されたツール「DDSpoof」を使ってこのサイバー攻撃を実行する方法を取り上げている。DHCPサーバの列挙やカスタムDHCP DNSコマンドの実行、偽造対象の特定などができる他、幾つかの攻撃シナリオとともにツールの利用方法も解説されている。
この新しい攻撃セットについて、Microsoftは「対処する計画はない」としている。AkamaiはDHCP DNS Dynamic Updatesを利用するこの手法が非常に強力であるとし、リスクを特定して緩和を実施するためにツールを使うことを推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.