偽のドメインコントローラー
2022 年 1 月 10 日、外国のセキュリティ研究者である Kaido 氏は、偽のドメイン制御の新しい方法を発見したと述べた文書を公開しました。セキュリティ研究者は、新しいマシン アカウントを作成し、そのマシンの UserAccountControl 属性を変更するだけで済みます。アカウントは8192まで。Active Directory は、このマシン アカウントをドメイン コントローラーと見なし、この新しく作成されたマシン アカウントを DCSync 操作に使用します。マシン アカウントの UserAccountControl 属性を変更するにはドメイン内で高い権限が必要なため、この方法を使用してドメイン権限を維持できます。
このアクセス許可の維持方法は、ドメイン内にドメイン コントローラーを偽造する DCShadow に似ています。DCShadow が悪意のあるオブジェクトをドメインに追加するだけであり、このメソッドは DSCync 関数を使用してドメイン内の任意のユーザーのハッシュをエクスポートします。
脆弱性の原則
マシン アカウントの UserAccountControl 属性を 8192 に変更すると、Active Directory はマシン アカウントがドメイン コントローラーであると認識するのはなぜですか? まず、UserAccountControl プロパティを見てみましょう。公式ドキュメントを見ると、次の図に示すように、UserAccountControl 属性に値がある可能性があることが明確にわかります。
値が 8192 の場合、対応する SERVER_TRUST_ACCOUNT 属性フラグは、図に示すように、その意味に対応します。Microsoft によるこの属性フラグの解釈は、ドメイン内のメンバー ドメイン コントローラーであるコンピューター アカウントであることがわかります。
したがって、マシン アカウントの UserAccountControl 属性を 8192 に変更すると、Active Directory はマシン アカウントをドメイン コントローラーとして認識します。
