注目★★★★★Google Cloud
Active Directory フェデレーション サービス (ADFS) の署名鍵が Windows DPAPI 経由で盗み出される
30秒で把握
- 1Google が ADFS 署名鍵を Windows マシン DPAPI 経由で復元・盗難可能な手法を公開
- 2証明書ローテーション後も旧鍵が残存し、低権限プロセスでも Golden SAML による MFA 迂回が成立
- 3ADFS サーバ運用チームは旧鍵削除状態を検証し、機械メモリ監視ログを確認必須
要約
Google Cloud の脅威インテリジェンス部門は、ADFS (Active Directory フェデレーション サービス) の署名鍵を Windows マシン DPAPI 経由で復元可能な脆弱性を報告した。ADFS 証明書を手動でローテーションした際に旧鍵が完全削除されず、マシン DPAPI で暗号化されたまま残留する問題で、認証情報を盗んだ攻撃者が Golden SAML 技法で多要素認証 (MFA) や条件付きアクセスを迂回できる。従来は ADFS サーバ管理権限が必要とされていたが、本方式により低権限プロセスからの盗難リスクが増す。検出および対策手法の詳細は記事に記載されている。
あなたへの影響
この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。
クレカ不要・いつでも解約