Microsoft：ロシアのハッカーが強力な「MagicWeb」認証バイパスを入手

Microsoftは、2020年のSolarWindsサプライチェーン攻撃の背後にあるハッカーグループが、企業ネットワークで認証を回避する新たな手法を開発していると警告した。

このトリックは、Microsoft が「MagicWeb」と呼ぶ高度に専門化された機能で、防御側が攻撃者を排除しようとしても、攻撃者はネットワーク内で確固たる地位を保つことができます。 ただし、Microsoft が Nobelium として追跡しているこのグループによる過去の攻撃とは異なり、MagicWeb を展開するためにサプライ チェーン攻撃を利用しているのではなく、管理者の資格情報を悪用しています。

米国と英国は、ノーベリウムの攻撃者らはロシア対外情報局（SVR）のハッキング部隊の出身だとしている。 Nobelium の攻撃者は、2020 年後半に SolarWinds のソフトウェア ビルド システムを侵害して以来、いくつかの有名なサプライ チェーン攻撃を実行してきました。 その攻撃は大まかにターゲットを絞った 18,000人の顧客, マイクロソフトを含む. 選ばれた数のクライアント -- 存在すると思われる 米国の顧客 100 名、 その後、トップテクノロジー企業や米国政府機関も侵害されました。

見る： ハッカーは多要素認証を回避する方法を模索しています。 注意すべき点は次のとおりです

それ以来、マイクロソフトや他のセキュリティ会社は、 Nobelium が使用するバックドアなどの複数の高度なツールを特定 –そしてMagicWebは最新です。 MagicWeb は、エンタープライズ ID システム、つまり Active Directory Federation Server (AD FS) をターゲットとしています。これは、オンプレミスの AD サーバーとクラウドベースの Azure Active Directory を意味します。 そのため、Microsoft は AD FS を分離し、AD FS へのアクセスを制限することを推奨しています。

Microsoftは、Nobeliumが引き続き「非常に活発」であることを強調している。 昨年 7 月、Microsoft は次のことを明らかにしました。 情報を盗むマルウェアを発見 Nobelium からサポート エージェントの 1 人の PC にダウンロードされ、他のエージェントへの攻撃に使用されました。 ノーベリウム俳優も スピアフィッシングキャンペーンで USAID になりすました.

10月にはマイクロソフトが ソフトウェアおよびクラウド サービスの再販業者に対する Nobelium 攻撃に注目、再びサプライヤーと顧客の間の信頼を悪用して、顧客のITシステムへの直接アクセスを悪用します。

クラウド/リセラー攻撃の 1 か月前に、Nobelium ツールが公開されました。 フォギーウェブと呼ばれる、トークン署名証明書とトークン暗号化証明書を取得し、マルウェアを展開するために AD FS から詳細を収集する侵害後のバックドア。

MagicWeb は、AD FS をターゲットにすることで同様の手法を採用していますが、Microsoft によれば、これは「秘密のアクセスを直接容易にすることで、FoggyWeb の収集機能を超えています」とのことです。

「MagicWeb は、Active Directory Federated Services サーバーによって生成されたトークンで渡されるクレームの操作を可能にする悪意のある DLL です。 ゴールデン SAML のような攻撃に使用される署名証明書ではなく、認証に使用されるユーザー認証証明書を操作します。」

SAML は Security Assertion Markup Language を指し、x509 証明書を使用して信頼を確立します。 ID プロバイダーとサービス間の関係、およびトークンの署名と復号化について、Microsoft と説明します。

MagicWeb を展開する前に、攻撃者は高度な特権を持つ資格情報へのアクセスを取得し、ネットワーク上を横方向に移動して AF FS システムの管理者権限を取得しました。

Microsoftは「これはサプライチェーン攻撃ではない」と強調した。 「攻撃者は AD FS システムへの管理者アクセス権を持っており、正規の DLL を独自の悪意のある DLL に置き換え、正規のバイナリではなく AD FS によってマルウェアが読み込まれるようにしました。」 

レドモンドの会社のセキュリティ チーム (Microsoft の MSTIC、Microsoft 365 Defender Research、および Microsoft Detection and Response Team (DART)) は、顧客のシステム上で MagicWeb を発見しました。 MagicWeb が「高度に標的を絞った」攻撃に使用されていると評価しています。

見る： ランサムウェア: ほとんどの攻撃は、これらの一般的なサイバーセキュリティの間違いを悪用しています - したがって、今すぐ修正してください、と Microsoft が警告

Microsoft は、AD FS インフラストラクチャを分離し、専用の管理者アカウントのみがアクセスできるようにするか、Azure Active Directory に移行することを顧客に推奨しています。

Microsoft は、MagicWeb が認証バイパスを実現する方法について詳細な説明を提供しています。 この説明は、AD FS の「クレームベース認証」がどのように機能するかを理解することにかかっています。 1 つの組織に対するシングル サインオンの代わりに、AD FS は「クレーム」 (トークン) を使用して、外部関係者 (顧客、パートナー、サプライヤー) をシングル サインオンで認証できるようにします。

「MagicWeb は、AD FS サーバーの通常の役割を超えて、悪意のあるアクションを実行するために、クレーム プロセスに自らを挿入します」と Microsoft は説明しています。

MagicWeb はまた、「内容を指定する拡張キー使用法 (EKU) 値を含む SAML x509 証明書」を悪用します。 EKU は、たとえば、サポートするオブジェクト識別子 (OID) 値を備えています。 スマートカードのログオン。 組織はカスタム OID を作成して、証明書の使用を制限することもできます。

「MagicWeb の認証バイパスは、ハードコードされた非標準の拡張キー使用法 OID を渡すことで発生します。 指定されたユーザー プリンシパル名の認証要求中に、MagicWeb マルウェア内で発生する可能性があります。」と Microsoft と説明します。

「この一意のハードコードされた OID 値が検出されると、MagicWeb は認証リクエストですべての標準 AD FS プロセス (MFA のチェックを含む) をバイパスし、ユーザーの主張を検証します。 MagicWeb は、Golden SAML などの攻撃で使用される SAML クレームの署名証明書ではなく、SAML サインインで使用されるユーザー認証証明書を操作しています。」 

標的にされる可能性がある組織で働く防御者は、確認する必要があります。 Microsoft のブログ投稿 ネットワークを強化し、アイデンティティと認証インフラストラクチャを保護する方法についてのアドバイスが必要です。