Reading Time: 1 minutes
本投稿では、「MS14-068」の脆弱性とはどのようなものなのかを解説後、MS14-068の脆弱性を悪用した攻撃検知のため、JPCERT/CCで監視が推奨されているイベントログをご紹介します。また、最後には、そのイベントログを見逃さないためのツールとして、弊社製品のEventLog Analyzerを使用した場合の監視の流れについて、簡単にご案内させていただきます。
1. 「MS14-068」とはどのような脆弱性なのか
2014年11月、Microsoft WindowsのKerberos認証にて、リモートから特権のないドメインアカウントに対して権限昇格を行うことが可能な脆弱性(CVE-2014-6324)が発見され、サポートされているすべてのエディションに対して、脆弱性の深刻度が4段階中最も高い、「緊急」と評価されました。これは、Kerberos認証のチケット認証に関する脆弱性を突いたものであり、署名に細工をすることでドメインの特権ユーザーへ昇格し、本来はアクセスできないリソースにもアクセスできてしまうものとなります。
「MS14-068」の脆弱性を悪用した攻撃では、以下のような流れが考えられます。
1.(攻撃者) ドメインに所属するクライアントへ侵入
2.(ドメインユーザー) ドメインにアクセスするためKerberosチケットをリクエスト
3.(ドメインユーザー) ドメインコントローラーからチケットを取得する
4.(攻撃者) ドメインユーザーが認証に使用したチケット情報を盗む
5.(攻撃者) 攻撃コードを含むスクリプトを実行して、Kerberosチケットに対して特権を付与する細工を実施
6.(攻撃者) チケットの有効期限を書き換える
※チケットの有効期限は仕様上10時間となっていますが、「100年間有効」というように期限を書き換えることにより、リソースへ半永久的にアクセス可能となったチケットのことを、「Golden Ticket」といいます。
7.(攻撃者) 細工されたチケットを使ってリソースに不正アクセス
この攻撃の恐ろしいところは、一度チケットの細工に成功した場合、通常のKerberos認証と同様の流れとなるため、不審な痕跡が残らないという点、また、チケットの有効期限を書き換えることで、なりすましたアカウントのパスワードが変更された後やMS14-068のセキュリテ更新プログラムを適用後も、継続して使用できてしまう点が挙げられます。
そのため、大切なのは、出来るだけ早い段階でこの攻撃を察知することとなります。1. の段階で攻撃を検知するためには、ドメインに対する連続したログオン失敗履歴や、深夜の時間帯など、通常ログオンが発生しない時間帯でのログオンの監査などが有効です。しかし、仮に何らかの方法でドメインに侵入されてしまった場合、この攻撃に気が付くことのできる最後の痕跡となるのが、4. の権限昇格に対するイベントログです。
JPCERT/CCでは、MS14-068の脆弱性を悪用した攻撃の調査のため、下記条件でのイベントログの監視を推奨しています。
※JPCERT/CC 「ログを活用したActive Directoryに対する攻撃の検知と対策」より引用
イベントID4769というのは、特権の昇格をあらわすイベントログとなり、脆弱性を利用したリクエストが実行された場合、ログオンユーザーに対して、特権を付与するログが記録されます。なお、このログを取得するには、グループポリシーから以下の監査ポリシーを有効化する必要があります。
コンピューターの構成 > ポリシー > Windowsの設定 > セキュリティの設定 > 監査ポリシーの詳細な構成 > 監査ポリシー > アカウントログオン > Kerberosサービスチケット操作の監査
JPCERT/CCでは、イベントID4768に加え、「Status」(エラーコード)が「0xf」(失敗)となっているイベントログの監視を推奨しています。しかし、イベントIDに加え、エラーコードも監視する場合、目視での実現は大変難しく、侵入の最後の痕跡を見逃してしまう可能性があります。そこで、最後に弊社製品EventLog Analyzerを使用した監視方法についてご紹介したいと思います。
2. EventLog Analyzerを使用した「MS14-068」の監視
EventLog Analyzerとは、Windowsイベントログに加え、Syslogやアプリケーションログなど、各種ログを一元的に保管することが可能なログ管理ソフトウェアです。このソフトウェアを使用することで、イベントビューアー上のログをすべて収集することができ、またアラート機能を使用することで、条件に一致したログを受信した際、管理者へメールで通知を行うことが可能です。
※クリックで拡大します
上記はEventLog Analyzerのアラート設定画面です。赤枠で囲っている箇所で、アラートのトリガーとなる条件を指定します。なお、今回MS14-068の監視にあたり、JPCERT/CCの確認事項に、「イベントID4769について「エラーコード」が「0xf」のログがあれば、攻撃をうけた可能性がある」と記載されているため、以下のように設定します。
この設定を行うことで、EventLog Analyzerが条件に一致したイベントログを受信したタイミング*1で、メールによる通知が行われるようになります。また、本製品は通知方法としてメールだけでなく、スクリプトの実行、SMS通知のオプションもご用意しております。このように、ツールを使用することで、「簡単に」「効率よく」 JPCERT/CCで監視が求められているイベントログの追跡を行うことが可能となるのです。
*1 EventLog Analyzerがイベントログを収集する間隔は、最短で10分となります。
もし、EventLog Analyzerに少しでもご興味を持っていただきましたら、以下のリンクより30日間無料で評価できる評価版をダウンロードできますので、是非お試しください。
評価版ダウンロードURL:https://www.manageengine.jp/products/EventLog_Analyzer/download.html
また、評価版を利用する際にインストールガイドなどが記載したスタートアップガイドもございますので、合わせてご参照ください。
スタートアップガイド:https://www.manageengine.jp/products/EventLog_Analyzer/startup-guide.html
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。