質問
RBCD攻撃とはなんですか? |
解答
RBCD攻撃とは、「Resource-Based Constrained Delegation(リソースベース制約付き委任)」を悪用した、WindowsのActive Directory(AD)環境における攻撃手法の一つです。 特に、権限昇格や横移動に利用されます。 基本の考え方 通常、Active Directoryでは「委任(delegation)」という機能を使って、あるサービス(例:Webサーバー)が別のサービス(例:ファイル共有)にユーザーの代わりとしてアクセスすることができます。 RBCDはその中でも、アクセスされる側のリソース(サービス)が「誰に代理アクセスを許すか」を指定できる機能です。 攻撃の概要 1. 攻撃者がコンピュータアカウント(サービスプリンシパル名を持つ)を作成するか奪う これは、ドメインユーザーの権限でも行える場合があります。 2. ターゲットマシンのActive Directoryオブジェクトにある`msDS-AllowedToActOnBehalfOfOtherIdentity`属性を操作する 本来はこの属性に、代理アクセスを許可したいアカウントを設定します。 攻撃者はこの属性に、自分が制御するアカウントを設定してしまうのです。 3. 攻撃者はS4U2SelfやS4U2Proxyを用いて、別のユーザー(たとえば管理者)になりすますチケット(TGS)を取得する 4. ターゲットサービスにアクセスして、管理者権限を取得する なぜ危険か * ドメインユーザー権限だけでも実行可能なことがある * 検出が難しい(正規の機能を使っているため) * Kerberosプロトコルの仕組みを悪用しているので強固な認証の裏を突く 防御のポイント * コンピュータアカウントの作成を制限する(既定ではドメインユーザーでも作成可能なことがある) * `msDS-AllowedToActOnBehalfOfOtherIdentity` の変更監視を行う * Kerberos Delegation の利用を最小限に抑える * セキュリティ情報イベントログを活用して異常なチケット要求を検出する |
 |
 |
ラベル:ACTIVE サービス アクセス 攻撃者 delegation 悪用 directory ユーザー 代理アクセス コンピュータアカウント ドメインユーザー 属性 アカウント 検出 RBCD攻撃 ResourceBased Constrained リソースベース制約付き委任 Windows 環境 攻撃手法 権限昇格 横移動 委任 Webサーバー ファイル共有 RBCD リソース 指定 サービスプリンシパル名 権限 ターゲットマシン Directoryオブジェクト msDSAllowedToActOnBehalfOfOtherIdentity属性 許可 制御 S4U2Self S4U2Proxy 管理者 チケット TGS ターゲットサービス 管理者権限 危険 ドメインユーザー権限 実行可能 正規 Kerberosプロトコル 仕組み 認証 防御 chatgptに質問
【関連する記事】
- PINとは
- デジタルフォレンジックスの必要性
- opensshとはなんですか?
- テンペスト技術とはなんですか?
- セキュアOSとは何ですか?
- CSIRTマテリアルとは
- 標的型攻撃とはなんですか?
- 類推型攻撃とは
- ウイルス対策ソフトがウイルスのような動きをするのはなぜ?
- シーザー暗号とは何ですか?
- NSAのQUANTUM攻撃スイートについて
- FIDO2とはなんですか?
- AIを用いてセキュリティ対策を行う方法を挙げてください。
- アノニマスの活動をまとめてください
- ハートブリードについて解説してください。
- オーロラ攻撃を解説してください。
- エニグマの機構
- OWASPとはなんですか?
- Google Authenticatorはどういった技術で動いていますか?
- セキュリティ面で二段階認証にはどのような弱点がありますか。
