セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 974926

統合 Windows 認証に対する資格情報リレー攻撃

公開日: 2009 年 12 月 8 日

バージョン: 1.0

このアドバイザリは、統合 Windows 認証 (IWA) を使用した資格情報の処理に影響を与える攻撃の可能性と、Microsoft がこれらの攻撃から保護するためにお客様が利用できるようにしたメカニズムに対処します。

これらの攻撃では、クライアントとサーバーの間で転送中にユーザーの認証資格情報を取得できる攻撃者は、これらの資格情報をクライアントで実行されているサービスに反映したり、クライアントが有効なアカウントを持つ別のサーバーに転送したりすることができます。 これにより、攻撃者はこれらのリソースにアクセスし、クライアントを偽装することができます。 IWA 資格情報はハッシュされているため、攻撃者はこれを使用して実際のユーザー名とパスワードを確認することはできません。

シナリオと追加の攻撃ベクトルの使用に応じて、攻撃者は組織のセキュリティ境界の内部と外部の両方で認証資格情報を取得し、それらを利用してリソースへの不適切なアクセスを取得できる可能性があります。

Microsoft は、これらの問題の潜在的な影響にさまざまなレベルで対処しており、これらの問題に対処するために使用可能になったツールと、これらのツールの使用による影響を顧客に認識させたいと考えています。 このアドバイザリには、IWA 認証資格情報の保護を強化するために Microsoft が実行したさまざまなアクションと、お客様がこれらのセーフガードを展開する方法に関する情報が含まれています。

軽減要因:

• 資格情報を中継するには、攻撃者が別の脆弱性を利用して中間者攻撃を実行するか、ソーシャル エンジニアリングを使用して、悪意のある電子メール メッセージにリンクを送信して攻撃者の制御下にあるサーバーに接続するように被害者を誘導する必要があります。
• インターネット エクスプローラーは、インターネット ゾーンでホストされているサーバーに HTTP を使用して資格情報を自動的に送信しません。 これにより、このゾーン内の攻撃者が資格情報を転送または反映するリスクが軽減されます。
• リフレクション攻撃を成功させるには、クライアント システムへの受信トラフィックを許可する必要があります。 IWA 認証が許可されるため、最も一般的な攻撃ベクトルは S MB (メガバイト) です。 S MB (メガバイト) トラフィックをブロックするファイアウォールの背後にあるホスト、またはホスト ファイアウォール上の S MB (メガバイト) トラフィックをブロックするホストは、S MB (メガバイト) を対象とする最も一般的な NTLM リフレクション攻撃に対して脆弱ではありません。

一般情報

概要

アドバイザリの目的: 統合 Windows 認証 (IWA) を使用する場合にユーザー資格情報の保護を拡張するために Microsoft が実行しているアクションを明確にするため。

アドバイザリの状態: アドバイザリが公開されました。

推奨事項: 推奨されるアクションを確認し、必要に応じて構成します。

このアドバイザリでは、次のソフトウェアについて説明します。

*Windows 7 および Windows Server 2008 R2 は、セキュリティ サポート プロバイダー インターフェイス (SSPI) の機能として、認証の拡張保護を提供します。 オペレーティング システムまたはアプリケーションがこの機能をサポートするように構成されていない場合、これらのオペレーティング システムで実行されているアプリケーションは、資格情報リレーに引き続き公開される可能性があります。 認証の拡張保護は、既定では有効になっていません。

よく寄せられる質問

アドバイザリの範囲は何ですか?
このセキュリティ アドバイザリは、資格情報の中継から保護するために Microsoft が適用する戦略の包括的なビューを提供します。 この問題に包括的に対処するために現在利用可能な更新プログラムの概要を示します。

この脅威の原因は何ですか?
このアドバイザリは、認証リレーの可能性に対処します。 これらの攻撃は、攻撃者が中間者攻撃を通じて認証資格情報を取得することに成功した場合、またはユーザーにリンクをクリックするよう誘導することによって行われます。 このリンクにより、ユーザーに IWA を使用した認証を要求する攻撃者が制御するサービスにクライアントがアクセスする可能性があります。

このアドバイザリで参照される資格情報リレーの形式は次のとおりです。

• 資格情報の転送: メイン攻撃者が取得した資格情報を使用して、被害者がアクセス権を持つことが判明している他のサービスにログオンできます。 攻撃者は、ターゲット サービスの被害者と同じアクセス許可を取得する可能性があります。
• 資格情報のリフレクション: メイン攻撃者が取得した資格情報を使用して、被害者のコンピューターにログオンし直すことができます。 その後、攻撃者は、被害者と同じコンピューターに対するアクセス許可を取得します。

これらの攻撃を成功させるには、攻撃者はユーザーが攻撃者のサーバーに接続する必要があります。 これは、アドレス解決プロトコル (ARP) キャッシュポイズニングなど、攻撃者がローカル ネットワークに存在する攻撃によって実現できます。

これらの攻撃の影響は、攻撃者が組織の境界外のサーバーに接続するようにユーザーを誘導すると大きくなります。 これを可能にする可能性のある特定のシナリオは次のとおりです。

• DNS デボルブは、 Windows DNS クライアントが単一ラベルの非修飾ホスト名の DNS クエリを解決できるようにする Windows DNS クライアント機能です。 悪意のあるユーザーは、組織の境界外に特定のホスト名を登録する可能性があります。これにより、クライアントが正しく構成されていない場合、そのホスト名にアクセスしようとしたときに、組織の境界の外側にデボルブされたときに、クライアントが意図せずに接続する可能性があります。
• 攻撃者が Windows Doメイン ネーム システム (DNS) の脆弱性を悪用し、スプーフィングを許可する DNS スプーフィング。 これらの攻撃により、リモート攻撃者がインターネット上のシステムを対象としたネットワーク トラフィックを攻撃者のシステムにリダイレクトする可能性があります。
• NetBIOS Name Service (NBNS) スプーフィング。ユーザーは、ローカル ホスト名のクエリを開始する特別に細工されたアクティブ コード アプレット (Java や Flash など) を実行するように勧め、その後、リモート IP アドレスを持つスプーフィングされた NBNS 応答をクライアントに導入します。 このホスト名に接続すると、クライアントはこれをローカル コンピューターと見なして IWA 資格情報を試み、リモート攻撃者に公開します。

Microsoft は、これらのシナリオに対処するためにいくつかの更新プログラムをリリースしました。このアドバイザリは、お客様が特定の展開シナリオでリスクと問題を最適に評価する方法を要約することを目的としています。

統合 Windows 認証 (IWA) とは
統合 Windows 認証 (以前は NTLM と呼ばれ、Windows NT チャレンジ/応答認証とも呼ばれます) では、ユーザー名とパスワード (資格情報) がハッシュされてから、ネットワーク経由で送信されます。 統合 Windows 認証を有効にすると、クライアントは Web サーバーとのハッシュ暗号化交換を通じてパスワードの知識を証明します。 統合 Windows 認証には、ネゴシエート、Kerberos、NTLM 認証方法が含まれます。

中間者攻撃とは
中間者攻撃は、攻撃者が 2 人のユーザーの情報を知らずに、攻撃者のコンピューターを介して 2 人のユーザー間の通信を再ルーティングするときに発生します。 攻撃者は、意図した受信者に送信する前に、トラフィックを監視して読み取ることができます。 通信の各ユーザーは、意図したパーティーとだけ通信していると考えながら、知らず知らずのうちに攻撃者との間でトラフィックを送信し、攻撃者からのトラフィックを受信します。

DNS スプーフィング攻撃に対処するために、Microsoft はどのアクションを実行しましたか?
Microsoft は、DNS スプーフィング攻撃に対処するために、次のセキュリティ情報をリリースしました。

• MS08-037 は、攻撃者が DNS レコードをスプーフィングして DNS サーバー キャッシュに挿入する可能性がある 2 つの脆弱性に対処します。
• MS09-008 は、攻撃者が DNS レコードをスプーフィングして DNS サーバー キャッシュに挿入する可能性がある 2 つの脆弱性と、攻撃者がネットワーク インフラストラクチャ関連のホスト名 (WPAD と ISATAP) を悪意を持って登録する可能性がある 2 つの脆弱性に対処します。この脆弱性は、さらなる攻撃に対応するために使用される可能性があります。

NBNS スプーフィング攻撃に対処するために Microsoft が実行したアクションはどれですか?
Microsoft は、この脆弱性の影響を受けるサード パーティベンダーと協力し、この攻撃ベクトルに対する軽減策を実装しています。 この問題は、Adobe Security Bulletin APSB08-11 の Adobe Flash Player と Sun Alert 103079 の Sun Java ランタイム環境で解決されました。

アドレス解決プロトコル (ARP) キャッシュポイズニングとは
ARP キャッシュポイズニングは、攻撃者のコンピューターで構成される攻撃であり、被害者と同じサブネット上に存在し、スプーフィングまたは無償の ARP 応答を送信します。 これらは通常、攻撃者がネットワーク上の既定のゲートウェイであるとクライアントを混乱させ、その結果、被害者のコンピューターがゲートウェイではなく攻撃者に情報を送信しようとします。 このような攻撃は、中間者攻撃を設定するために利用される可能性があります。

トランスポート層セキュリティ (TLS) とは
トランスポート層セキュリティ (TLS) ハンドシェイク プロトコルは、セキュリティで保護されたセッションを確立または再開するために必要な認証とキー交換を担当します。 セキュリティで保護されたセッションを確立すると、ハンドシェイク プロトコルによって次の管理が行われます。

• 暗号スイート ネゴシエーション
• サーバーの認証と必要に応じて、クライアント
• セッション キー情報の交換

詳細については、TechNet の記事 「TLS/SSL のしくみ」を参照してください。

このアドバイザリに関連付けられている Windows のバージョンは何ですか?
資格情報の転送とリフレクションは、統合 Windows 認証を実行できるすべてのプラットフォームに影響します。 認証のための拡張保護機能は、Windows 7 および Windows Server 2008 R2 に含まれており、Microsoft セキュリティ アドバイザリ 973811としてリリースされたセキュリティ以外の更新プログラムで、Windows XP、Windows Server 2003、Windows Vista、および Windows Server 2008 で使用できるようになりました。 認証資格情報を完全に保護するには、これらのオペレーティング システム上の特定のアプリケーションでメカニズムをオプトインする必要があります。 拡張保護機能は、Microsoft Windows 2000 オペレーティング システムでは使用できません。

資格情報リフレクション攻撃に対処するために Microsoft はどのようなアクションを実行しましたか?
アプリケーションは、サービスに対する認証時にサービス プリンシパル名 (SPN) を適切に利用する場合、資格情報リフレクション攻撃から保護されます。

このセキュリティ アドバイザリを公開する前に、Microsoft は、Windows コンポーネントと Microsoft アプリケーションがこのメカニズムを適切に選択して資格情報リフレクション攻撃に対する保護を提供できるように、次のセキュリティ更新プログラムをリリースしていました。

• Microsoft セキュリティ情報 MS08-068 は、攻撃者の S MB (メガバイト) サーバーに接続するときの資格情報のリフレクションに対処します。
• Microsoft セキュリティ情報 MS08-076 は、攻撃者の Windows Media サーバーに接続するときの資格情報のリフレクションに対処します。
• Microsoft セキュリティ情報 MS09-013 は、WinHTTP アプリケーション プログラミング インターフェイスを使用して攻撃者の Web サーバーに接続するときの資格情報のリフレクションに対処します。
• Microsoft セキュリティ情報 MS09-014 は、WinINET アプリケーション プログラミング インターフェイスを使用して攻撃者の Web サーバーに接続するときの資格情報のリフレクションに対処します。
• Microsoft セキュリティ情報 MS09-042 は、攻撃者の telnet サーバーに接続するときの資格情報のリフレクションに対処します。

資格情報転送攻撃に対処するために Microsoft はどのようなアクションを実行しましたか?
資格情報の転送に対する一部の保護は、Windows セキュリティ サポート プロバイダー インターフェイス (SSPI) によって提供されます。 このインターフェイスは Windows 7 および Windows Server 2008 R2 で実装されており、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008 のセキュリティ以外の更新プログラムとして利用できるようになりました。

保護するには、セキュリティ以外の追加の更新プログラムを展開して、特定のクライアントとサーバーのコンポーネントとアプリケーションに対して同じ保護を提供する必要があります。 この機能は、クライアント側とサーバー側の両方の認証に変更を適用し、慎重に展開する必要があります。 認証の拡張保護と、このメカニズムを実装するためにリリースされたセキュリティ以外の更新プログラムの詳細については、 Microsoft セキュリティ アドバイザリ 973811を参照してください。

これらの更新プログラムは資格情報転送攻撃にどのように対処しますか?
SSPI セキュリティ以外の更新プログラム Microsoft セキュリティ アドバイザリ 973811 は、現在の統合 Windows 認証 (IWA) メカニズムを拡張するために SSPI を変更し、クライアントが接続を試みるサーバーの SPN と、IWA 認証が行われる外部トランスポート層セキュリティ (TLS) チャネルの両方に認証要求をバインドできるようにします。 このようなチャネルが存在する場合は〘。 これは、セキュリティの脆弱性自体には対処しない基本更新プログラムですが、アプリケーション ベンダーが構成を選択できるオプションの機能として展開します。

アプリケーション固有のセキュリティ以外の更新プログラムは、IWA 認証を実行する個々のシステム コンポーネントを変更して、コンポーネントがレイヤー 1 のセキュリティ以外の更新プログラムによって実装される保護メカニズムを選択するようにします。 認証 の拡張保護を有効にする方法の詳細については、Microsoft セキュリティ アドバイザリ 973811 および対応する Microsoft サポート技術情報の記事973811を参照してください。

DNS のデボルブに対処するために Microsoft はどのアクションを実行しましたか?
DNS のデボルブは、企業ネットワークの外部でこの脆弱性を悪用する攻撃ベクトルとして使用できます。 Devolution は、Windows DNS クライアントが単一ラベルの非修飾ホスト名の DNS クエリを解決する Windows DNS クライアント機能です。 クエリは、プライマリ DNS サフィックス (PDS) をホスト名に追加することによって構築されます。 クエリは、ホスト名と再メイン PDS が解決されるまで PDS 内の左端のラベルを体系的に削除するか、または削除された PDS で 2 つのラベルのみを再メインすることで再試行されます。 たとえば、western.corp.contoso.co.us で "単一ラベル" を探している Windows クライアントはメイン解決するシステムが見つかるまで、Single-label.western.corp.contoso.co.us、Single-label.corp.contoso.co.us、Single-label.contoso.co.us、Single-label.co.us を段階的に照会します。 このプロセスは、デボルブと呼ばれます。

攻撃者は、組織の境界外で単一ラベルの名前を持つシステムをホストする可能性があり、DNS のデボルブにより、Windows DNS クライアントが組織の境界内にあるかのように正常に接続される可能性があります。 たとえば、企業の DNS サフィックスが corp.contoso.co.us されていて、"Single-Label" という修飾されていないホスト名を解決しようとすると、DNS リゾルバーは Single-Label.corp.contoso.co.us を試みます。 それが見つからない場合は、DNS のデボルブを介して、Single-label.contoso.co.us を解決しようとします。 それが見つからない場合は、contoso.co.us の外部にある Single-label.co.us を解決しようとしますメイン。 このプロセスは、デボルブと呼ばれます。

1 つの例として、このホスト名が WPAD の場合、WPAD.co.us を設定した攻撃者は、悪意のある Web プロキシ自動検出 ファイルを提供してクライアント プロキシ設定を構成する可能性があります。

Microsoft は、セキュリティ アドバイザリ 971888と関連する更新プログラムをリリースし、Windows クライアントによる DNS デボルブの実行方法をより細かく制御できるようにします。 この更新により、組織は、組織の境界外でクライアントがデボルブされるのを防ぐことができます。

サード パーティの開発者は、資格情報の中継に対処するために何ができますか?
サード パーティの開発者は、Microsoft セキュリティ アドバイザリ 973811で説明されているこの新しい保護メカニズムにオプトインすることで、認証のための拡張保護の実装を検討する必要があります。

開発者がこのメカニズムを選択する方法の詳細については、 MSDN の記事「拡張保護による統合 Windows 認証」を参照してください。

サービス プリンシパル名 (SPN) とは
サービス プリンシパル名 (SPN) は、クライアントがサービスのインスタンスを一意に識別する名前です。 ネットワーク全体のコンピューターにサービスの複数のインスタンスをインストールする場合、各インスタンスには独自の SPN が必要です。 クライアントが認証に使用できる複数の名前がある場合は、指定したサービス インスタンスに複数の SPN を設定できます。 たとえば、SPN には常にサービス インスタンスが実行されているホスト コンピューターの名前が含まれているため、サービス インスタンスはホストの名前またはエイリアスごとに SPN を登録できます。

推奨されるアクション

• Microsoft セキュリティ アドバイザリ 973811、認証の拡張保護を確認し、関連する更新プログラムを実装する
  このセキュリティ アドバイザリは、認証用の拡張保護を実装するセキュリティ以外の更新プログラムのリリースを発表します。 この機能は、リレー攻撃から認証の試行を保護するのに役立ちます。
• Microsoft セキュリティ アドバイザリ 971888、DNS 開発の更新プログラムを確認する
  このセキュリティ アドバイザリは、システム管理者がより具体的に DNS のデボルブを構成できるようにする、オプションのセキュリティ以外の更新プログラムのリリースを発表します。
• このアドバイザリに関連付けられている Microsoft サポート技術情報の記事を確認する
  このセキュリティ アドバイザリの詳細を知りたがっているお客様は、Microsoft サポート技術情報の記事974926を参照してください。
• PC を保護する
  ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 これらの手順の詳細については、「コンピューターの保護」を参照してください。
• インターネット上の安全を維持する方法の詳細については、Microsoft Security Central を参照してください。
• Windows を更新したままにする
  すべての Windows ユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Windows Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新が有効になっている場合、更新プログラムはリリース時に配信されますが、必ずインストールする必要があります。

対処方法

資格情報のリフレクションまたは資格情報転送攻撃からシステムを保護するために、いくつかの回避策が存在します。 Microsoft では、次の回避策をテストしました。 これらの回避策では、基になる脆弱性は修正されませんが、既知の攻撃ベクトルをブロックするのに役立ちます。 回避策によって機能が低下する場合は、次のセクションで確認できます。

ファイアウォールで TCP ポート 139 と 445 をブロックする

資格情報リフレクション攻撃の場合、リレーされた資格情報を使用した受信接続は、S MB (メガバイト) または RPC サービス経由で行われる可能性が最も高くなります。 ファイアウォールで TCP ポート 139 と 445 をブロックすると、そのファイアウォールの背後にあるシステムがこの脆弱性を悪用しようとするのを防ぐことができます。 Microsoft では、他のポートを使用する可能性がある攻撃を防ぐために、インターネットからの未承諾の受信通信をすべてブロックすることをお勧めします。 ポートの詳細については、「TCP および UDP ポートの割り当て」を参照してください。

回避策の影響: 影響を受けるポートを使用する Windows サービスがいくつかあります。 ポートへの接続をブロックすると、さまざまなアプリケーションまたはサービスが機能しなくなる可能性があります。 影響を受ける可能性のあるアプリケーションまたはサービスの一部を次に示します。

• S MB (メガバイト) (CIFS) を使用するアプリケーション
• mailslots または名前付きパイプを使用するアプリケーション (RPC over S MB (メガバイト))
• サーバー (ファイルと印刷の共有)
• グループ ポリシー
• Net Logon
• 分散ファイル システム (DFS)
• ターミナル サーバーのライセンス
• 印刷スプーラー
• コンピューター ブラウザー
• リモート プロシージャ コール ロケーター
• FAX サービス
• インデックス サービス
• パフォーマンス ログとアラート
• Systems Management Server
• ライセンス ログ サービス

SMB 署名を有効にする

S MB (メガバイト) 署名を有効にすると、ログオンしているユーザーのコンテキストで攻撃者がコードを実行できなくなります。 S MB (メガバイト) 署名は、各 S MB (メガバイト) にデジタル署名を配置することで相互認証とメッセージ認証を提供し、クライアントとサーバーの両方で検証されます。 グループ ポリシーを使用して S MB (メガバイト) 署名を構成することをお勧めします。

グループ ポリシーを使用して Microsoft Windows 2000、Windows XP、および Windows Server 2003 の S MB (メガバイト) 署名を有効または無効にする方法の詳細については、Microsoft サポート技術情報の記事887429を参照してください。 Windows XP および Windows Server 2003 用の Microsoft サポート技術情報の記事887429の手順は、Windows Vista および Windows Server 2008 にも適用されます。

回避策の影響: S MB (メガバイト) パケット署名を使用すると、ファイル サービス トランザクションのパフォーマンスが低下する可能性があります。 このポリシーが設定されているコンピューターは、クライアント側のパケット署名が有効になっていないコンピューターと通信しません。 S MB (メガバイト) 署名と潜在的な影響の詳細については、「Microsoft ネットワーク サーバー: 通信にデジタル署名する (常に)」を参照してください。

その他の情報

リソース:

• フォームに入力すると、Microsoft のヘルプとサポートにアクセスしてフィードバックを 提供できます。お問い合わせください。
• 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 使用可能なサポート オプションの詳細については、Microsoft のヘルプとサポートを参照してください。
• 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 国際サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポートを参照してください。
• Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責事項:

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン：

• V1.0 (2009 年 12 月 8 日): アドバイザリが公開されました。

ビルド日: 2014-04-18T13:49:36Z-07:00