NOBELIUMのMagicWeb

NOBELIUMはロシアが関連していると考えられているAPTです。
MagicWebはAD環境において虚偽の認証を実現してしまうポストエクスプロイトツールです。
ポストエクスプロイトツールはその名前の通り、攻撃者の侵入後の活動を行うためのツールのことをいいます。

小さな構成のActive Directory環境では、ドメインコントローラーが認証を受け持ちます。
構成を大きくして機能分散を実現する場合、ドメインコントローラー以外の機能要素が認証を担当する構成も選択できます。
そのような場合に使用される要素にActive Directory Federated Services(AD FS)サーバがあります。

攻撃者はこの悪意のモジュールを配置するためにまず環境に侵入する必要があります。
環境に侵入した後、特権の昇格とラテラル ムーブメントによって AD FS サーバへの管理アクセスを取得します。
そしてAD FSの設定ファイルを変更し、悪意のある内容に変更したDLLを読み込ませます。

MagicWebの設置が完了したシステムにおいて、攻撃者は任意のユーザとしてAD環境で活動することができます。
ロールポリシー、デバイスポリシー、ネットワークポリシーといったものにどのような内容が設定されていようと関係ありません。
多要素認証(MFA)を必要とする場合でもそれを使用することなく任意のユーザーとしてサインインできます。

1台のサーバの管理者権限を失うことがAD環境全体の管理者権限を失うことと同じ意味となってしまいます。

この攻撃は直接的に対策することはできない内容になっています。
通常の機能の設定ファイルを書き変えることによって成り立つものですので、パッチを適用すればよいというものではありません。
そもそもとして侵入されないようにするしかないのです。

緩和策としてMicrosoftが提示するのは次の2つのものとなります。

• AD FSサーバをドメインコントローラーやその他の重要なセキュリティインフラストラクチャと同じように安全に運用してください
• Azure Active Directory (Azure AD) 認証への移行を検討してください

わかりますけど、それが緩和策なのですね。

悪意の武器はどんどんと整ってきています。
MITRE ATT&CKでいうところの「Shift to the left Toward PRE-ATT&CK」が重要ということでしょうか。

参考記事（外部リンク）：MagicWeb: NOBELIUM’s post-compromise trick to authenticate
as anyone
www.microsoft.com/security/blog/2022/08/24/magicweb-nobeliums-post-compromise-trick-to-authenticate-as-anyone/