Microsoftは米国時間8月24日、2020年に発生したSolarWinds製品に対するサプライチェーン攻撃の背後にいたハッキンググループが、企業の認証システムをバイパスする新たな手法を用いていると警告した。
提供:Getty
この攻撃者らは、Microsoftが「MagicWeb」と呼ぶ極めて特殊な手法を用いることで、セキュリティ防御策をすり抜け、ネットワーク内に確固たる足掛かりを築けるようになる。ただし、Microsoftが追跡しているこのハッキンググループ(同社は「Nobelium」と呼んでいる)は今回、サプライチェーンを狙った過去の攻撃とは異なり、MagicWebによって管理者の認証情報を悪用する攻撃を展開している。
米国と英国は、Nobeliumのアクターらがロシア対外情報庁(SVR)のハッキング部隊に属していると主張している。
MagicWebは企業の認証システム、具体的には「Active Directoryフェデレーションサービス」(AD FS)のサーバーを標的にする。つまり、クラウドベースの「Azure Active Directory」(Azure AD)ではなく、オンプレミス環境に設置された「Active Directory」(AD)サーバーが標的となる。このため、MicrosoftはAD FSを隔離し、アクセスを制限するよう推奨している。
Microsoftは同社セキュリティブログに、「MagicWebは悪意のあるDLLであり、これによってAD FSサーバーが生成したトークンの中に含まれているクレームの操作が可能になる」と記している。また、「MagicWebは『Golden SAML』攻撃のように、SAML(Security Assertion Markup Language)のクレームに対する署名証明書を操作するものではなく、SAMLのサインインに使用されるユーザー認証証明書を操作するものだ」とも記している。
SAMLはX.509証明書を用い、認証プロバイダーとサービスの間での信頼関係を確立し、トークンの署名と復号化を実施するものだと同社は説明している。
この攻撃者らはMagicWebの展開に先立って、高い権限を有する認証情報にアクセスした後、AD FSシステムの管理者権限を取得するためにネットワーク内を水平移動していた。
Microsoftは、「これはサプライチェーン攻撃ではない」と強調した上で、「攻撃者はAD FSシステムに管理者権限でアクセスし、正規のDLLを自らの悪意あるDLLで置き換えることで、AD FSが正規のバイナリーデータではなくマルウェアをロードするように仕向けた」と記している。
同社のセキュリティチームであるMicrosoft Threat Intelligence Center(MSTIC)とMicrosoft 365 Defender Research Group、Microsoft Detection and Response Team(DART)は、顧客のシステム上でMagicWebを発見した。同社はMagicWebが「高度な標的型攻撃」に用いられていたとみている。
同社は顧客に対して、AD FSのインフラを隔離して専用の管理者アカウントからのみアクセスできるようにしておくか、Azure ADに移行することを推奨している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。