[修正済]Windowsサーバーのドメインが乗っ取られるPetitPotam脆弱性に注意!

Windows
[注意喚起]Windowsドメインを乗っ取られるPetitPotam攻撃に気を付けて!

2021年7月23日、MicrosoftからWindowsサーバーのドメインが乗っ取られる可能性がある「PetitPotam」脆弱性について発表がありました。

(2021/8/10)累積的な更新プログラム(KB5005033)によって修正されています。

PetitPotam攻撃って何?

古典的なNTLMリレー攻撃の一種だとMicrosoftはアナウンスしています。

NTLMリレー攻撃とは

NTLM攻撃のしくみ

WindowsドメインコントローラーやWindows Serverを標的にした攻撃です。

クライアントとやり取りするサーバに攻撃することでWindowsドメイン情報を盗み、サーバとやり取りするクライアントに成りすましてデータを盗みます。

内部ネットワークに侵入した後で可能となる攻撃ではありますが、危険であることに変わりはありません。

▼Windowsドメインに対するクレデンシャルリレー攻撃についての詳細はこちら

対策方法

ドメインでNTLM認証が有効になっているADサーバで、「認証局のウェブ登録」、「証明書の登録ウェブサービス」を有効にしている状態だとこの攻撃を受けやすいようです。

PetitPotam攻撃にはNTLM認証を無効にすることが最善の対策とされています。

NTLM認証を無効にするには以下の方法が開示されています。

  • ドメインコントローラーからNTLM認証を無効にする
  • IISマネージャから「NTLM for IIS」を無効にする
  • グループポリシーからドメイン内のすべてのADサーバーのNTLMを無効にする

ドメインコントローラーからNTLM認証を無効にする方法(推奨)

Microsoftは「ドメインコントローラーからNTLM認証を無効にする」方法を推奨しています。

▼①サーバーマネージャー 「グループポリシーの管理」を開きます。
手順1

②フォレスト>ドメイン>Defalt Domain Policy へ移動し、右クリックで「編集」をクリックします。
手順2

手順2.5

③コンピュータの構成>ポリシー>Windowsの設定>セキュリティの設定>ローカルポリシー>セキュリティオプションに移動します。
手順3

④「ネットワークセキュリティ:NTLMを制限する:このドメイン内のNTLM認証」を選択してから右クリックし、「プロパティ」を開きます。
手順4

⑤「プロパティ」の「このポリシーの設定を定義する」にチェックを入れてから、「無効にする」を選択します。
手順5

⑥「適用」してから「OK」をクリックします。

⑦「ネットワークセキュリティ:NTLMを制限する:このドメイン内のNTLM認証」が「無効」に変更されたか確認できたら完了です。

NTLMが無効にできない場合

  • IISマネージャでEPAを有効にする
  • SMB署名などの署名機能を使ってみる

もしNTLM認証を無効にできない場合は認証保護を強化する「EPA」を有効にするか、「SMB署名」などの署名機能を使うことをおすすめします。

▼Active Directory証明書サービス(AD CS)に対するNTLMリレー攻撃対策についての詳細はこちら