This post is also available in: English (英語)
概要
Kerberos認証プロトコルで最近見つかった脆弱性CVE-2020-17049 (別名Bronze Bit)についてMicrosoftが開示しました。本脆弱性は、Key Distribution Center(KDC)がサービスチケットを処理し、委任が許可されているかどうかを検証する方法に存在しています。
パロアルトネットワークスのセキュリティ運用ブログ「Protecting Against the Bronze Bit Vulnerability with Cortex XDR(CortexXDRによるBronze Bit脆弱性からの保護)」で詳しく説明されているように、この攻撃では攻撃者がKerberosサービスチケットを改ざんします。これにより攻撃者は、機密性の高いアカウントやProtected Usersセキュリティグループのメンバーを含む任意のユーザーとして対象に対する認証を行うことができます。
CVE-2020-17049の緩和策
本脆弱性に対しMicrosoftからはセキュリティ更新が提供されており、本修正は今後のWindows Updateで徐々に展開されていくことになります。Microsoftは2021年5月11日とそれ以降でのみ本修正の強制を目指しています。
結論
最新のコンテンツアップデートを含むCortex XDRバージョン7.3を実行中のパロアルトネットワークスのお客様は、標準Windows APIを使用する「Pass-the-Ticket」攻撃から保護されています。分析を有効にしてCortex XDR Proを実行しているお客様は、関連する疑わしいアクティビティ、とくにProtected Userセキュリティグループに属するユーザー宛ないし同ユーザー発の委任についてのアラートを受け取ります。
パロアルトネットワークスは、新しい情報や推奨事項が利用可能になり次第、本稿を更新します。
追加資料
- Kerberos KDC Security Feature Bypass Vulnerability(Kerberos KDCセキュリティ機能のバイパスの脆弱性)
- KB4598347: Managing deployment of Kerberos S4U changes for CVE-2020-17049(KB4598347: CVE-2020-17049のKerberos S4U変更のデプロイメントの管理)
- Protecting Against the Bronze Bit Vulnerability with Cortex XDR(CortexXDRによるBronze Bit脆弱性からの保護)
Get updates from
Palo Alto
Networks!
Sign up to receive the latest news, cyber threat intelligence and research from us