Asayomu Tech
注目★★★★Google Cloud

Active Directory フェデレーション サービス (ADFS) の署名鍵が Windows DPAPI 経由で盗み出される

30秒で把握

  • 1Google が ADFS 署名鍵を Windows マシン DPAPI 経由で復元・盗難可能な手法を公開
  • 2証明書ローテーション後も旧鍵が残存し、低権限プロセスでも Golden SAML による MFA 迂回が成立
  • 3ADFS サーバ運用チームは旧鍵削除状態を検証し、機械メモリ監視ログを確認必須

要約

Google Cloud の脅威インテリジェンス部門は、ADFS (Active Directory フェデレーション サービス) の署名鍵を Windows マシン DPAPI 経由で復元可能な脆弱性を報告した。ADFS 証明書を手動でローテーションした際に旧鍵が完全削除されず、マシン DPAPI で暗号化されたまま残留する問題で、認証情報を盗んだ攻撃者が Golden SAML 技法で多要素認証 (MFA) や条件付きアクセスを迂回できる。従来は ADFS サーバ管理権限が必要とされていたが、本方式により低権限プロセスからの盗難リスクが増す。検出および対策手法の詳細は記事に記載されている。

あなたへの影響

この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。

7日間無料で読む

クレカ不要・いつでも解約

詳細を読む → 元記事へ※ 本文は元記事をご確認ください (asayomu は要約のみ提供)

関連する記事

※ 外部記事の権利は原著作者に帰属します。著作権削除要請は copyright@asayomu.jp までご連絡ください(受領確認 24h・実処理 72h 以内)。