Active Directoryドメインへの新たな攻撃手法が見つかる Microsoftは対処計画なしセキュリティニュースアラート

AkamaiはDHCPサーバを使ったActive Directoryドメインへの新しい攻撃手法を発見した。Microsoftはこの問題に対処する計画がないため、自らの対応が必要となる。

» 2023年12月26日 09時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Akamai Technologies(以下、Akamai)は2023年12月21日(現地時間)、「Microsoft Active Directory」(以下、Active Directory)ドメインに対する新しいサイバー攻撃セットについて報告した。

AkamaiはActive Directoryドメインに対する新しいサイバー攻撃セットについて報告した(出典:AkamaiのWebサイト)

Active Directoryを狙う攻撃 Microsoftは“対処する計画なし”

 この攻撃は認証情報を必要とせずに重要なDNSレコードを偽造し、最終的に資格情報の窃取やActive Directoryドメインを侵害できるとされている。

 このサイバー攻撃に使われるのは、DHCPサーバがクライアントに代わってDNSレコードを動的に更新する「DHCP DNS Dynamic Updates」と呼ばれる機能で、これを悪用することで認証されていない状態で任意のDNSレコードを偽造できる。

 Akamaiは、このサイバー攻撃を実行するためのより詳細な技術情報を公開した。同社はDHCP Discover内のブロードキャストの送信やサーバからのOffer応答の検査などを実施し、その設定を学習すること、どのレコードが偽造可能かを調べること、Name Protectionのステータスを推測する方法、DHCP DNS Dynamic Updates設定の推定方法、複数のDNSレコードを偽造する際の問題とその解決方法などを説明している。

 Akamaiはこの他、Pythonで開発されたツール「DDSpoof」を使ってこのサイバー攻撃を実行する方法を取り上げている。DHCPサーバの列挙やカスタムDHCP DNSコマンドの実行、偽造対象の特定などができる他、幾つかの攻撃シナリオとともにツールの利用方法も解説されている。

 この新しい攻撃セットについて、Microsoftは「対処する計画はない」としている。AkamaiはDHCP DNS Dynamic Updatesを利用するこの手法が非常に強力であるとし、リスクを特定して緩和を実施するためにツールを使うことを推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.