本ブログは Mitigating NTLM Relay Attacks by Default の抄訳版です。 最新の情報は原文を参照してください。
はじめに
2024 年 2 月、マイクロソフトは CVE-2024-21410 に対するセキュリティ アップデートを含む Exchange Server の更新プログラムをリリースしました。これにより、Exchange Sever 2019 の新規および既存のインストールに対して 認証の拡張保護 (EPA) が既定で有効になりました。現在、Exchange に対する NTLM リレー攻撃を含むアクティブな脅威キャンペーンを確認していませんが、過去にこのベクトルを悪用する脅威アクターを観測しています。
今月初めの Windows Server 2025 のリリースに伴い、Azure Directory 証明書サービス (AD CS) にも同様のセキュリティ強化をリリースし、既定で EPA が有効になりました。さらに、同じ Windows Server 2025 リリースの一部として、LDAP では チャネル バインド が既定で有効になりました。このようなセキュリティ強化により、Exchange Server、Active Directory 証明書サービス (AD CS)、LDAP の 3 つのオンプレミス サービスで、既定で NTLM リレー攻撃のリスクを軽減します。
背景
NTLM リレーは、脅威アクターが使用する一般的な攻撃方法であり、ID の侵害を可能にします。NTLM リレー攻撃には、通常、次の 2 つの手順が含まれます。
-
被害者に任意のエンドポイントへの認証を強制する。
-
脆弱なターゲットに対して認証を中継する。
脆弱なエンドポイントに認証情報を転送または中継することで、攻撃者はユーザーに代わって認証を行い、操作することができます。これにより、攻撃者はさらなるドメイン侵害のための最初の足がかりを得ます。エクスプロイトを防ぐには、最初の段階の問題に対処することが重要です。脆弱性は、攻撃者にエクスプロイトのための最初のきっかけを与えます。リレー攻撃を包括的に軽減するには、既定で脆弱なサービスを包括的に対処する必要があります。EPA やその他のチャネル バインディング メカニズムにより、クライアントは目的のサーバーに対してのみ認証することができます。軽減策は NTLM リレー攻撃に対するサービスのセキュリティ保護に重要な役割を担っています。
NTLM リレーの軽減策の有効化
過去、マイクロソフトは脅威アクターによる NTLM リレー攻撃への保護がないサービスの悪用を確認しています。例えば、CVE-2023-23397 (Exchange サーバーに中継される Outlook エントリ ポイント)、CVE-2021-36942 (Active Directory 証明書サービス (AD CS) に対して中継される LSARPC エントリ ポイント)、ADV190023 (Lightweight Directory Access Protocol (LDAP) に対して中継される WPAD エントリ ポイント) などの脆弱性があります。このような事例から、攻撃者は明らかにリレー攻撃をキャンペーンに活用しています。
確認した NTLM リレー攻撃に対し、マイクロソフトは AD CS 、LDAP 、および Exchange Server で EPA を有効にするためのガイドラインをリリースしました。この対策は NTLM リレー攻撃からドメインを保護するのに役立ちます。しかしながら、ネットワーク管理者による手動での設定が必要であり、すべての環境で実現できるとは限りません。そのため、このような攻撃から環境を自動的に保護するために、 NTLM リレー攻撃への保護を既定で有効にするよう取り組んできました。
Exchange Server
NTLM の脅威の状況において Exchange Server が果たす独自の役割に注意することが重要であるため、マイクロソフトは既定で強化することを優先しました。Outlook を介して送信される Office ドキュメントとメールは、UNC リンクを埋め込むことができるため、攻撃者にとっては NTLM 認証を強制する脆弱性を悪用するための効果的な侵入口です。NTLM および Office アプリケーションに関連する最近の脆弱性には、CVE-2024-21413、CVE-2023-23397、CVE-2023-36563 などがあります。マイクロソフトは NTLM 認証を強制する特定のインスタンスを積極的に修正していますが、攻撃者はこのような脆弱性を悪用して脆弱なサーバーに対して認証を中継することが多く、悪用されると被害者のアカウントが侵害される可能性があります。Exchange Server は、企業全体で頻繁に使用されるメールプロバイダーであるため、主なターゲットになる可能性があります。
今年初めにリリースした Exchange Server 2019 CU 14にて、Exchange Server では既定で EPA が有効になりました。Exchange Server 2016 は延長サポート中であり、このバージョンではこれ以上の CU は計画していません。Exchange Server 2016 を使用しているお客様は、スクリプト を使用して EPA を有効にできます。
私たちは、すべての環境で EPA を実現するのは簡単ではないことを認識しています。EPA を既定で有効にするため、以前の EPA と互換性がなかった追加のシナリオをサポートする必要があります。ご利用の環境における EPA の有効化の詳細については、セキュリティ アドバイザリと Exchange チームの更新に関するブログで提供されているガイダンスを参照してください。
AD CS と LDAP
一般公開されている 最新の Windows Server 2025 では、AD CS と LDAP の両方で EPA が既定で有効になっています。現在の Windows Server 2025 での EPA の既定の設定は [有効 - サポートされている場合] で、チャネル バインディングをサポートしていないクライアントはチャネル バインディングを省略できます。従来のクライアントを考慮する必要がない企業に向け、より強力な [有効 – 常時] という EPA のセキュリティ設定もあります。今後の Windows のバージョンでは、この設定をより強化します。さらに、Windows Server 2022 および 2019 の管理者は、AD CS の EPA と LDAP のチャネル バインディングを手動で有効にできます。チャネル バインディングをサポートしていないマシンを特定するために、LDAP の監査サポートがあります。監査サポートを使い、IT 管理者がチャネル バインディングを利用可能なバージョンにアップグレードすることで、既定でのチャネル バインディングの有効化を支援します。
今年の初めにリリースした Exchange Server 2019 CU14 の EPA と、Windows Server 2025 の一部としてリリースした AD CS と LDAP のセキュリティに重点を置いた既定の設定により、このバージョンに対する NTLM リレー攻撃に対する防御を強化しました。既定の EPA の有効化に対する追加の変更は、現在、より多くの Windows サービスで進行中です。今後は、より多くのサービスで EPA を既定で有効にするための取り組みを続け、NTLM リレー攻撃を完全に排除することを目指しています。
今後の展望:NTLM の未来
NTLM は古いプロトコルです。今後の Windows では NTLM が既定で無効になることに備えることを推奨します。また、NTLM の使用をカタログ化して削減し、Kerberos などの最新の認証プロトコルへの移行を検討するようお客様に推奨します。その間、マイクロソフトは、NTLM 攻撃に対する強化のためのさまざまな戦略を模索します。注目すべき変更は、Windows Server 2025 および Windows 11 24H2 で NTLMv1 を削除し、より一般的に使用されている NTLM v2 を非推奨にしたことです。さらに、管理者は NTLM をブロックするために SMB を構成するオプションを利用できるようになりました。
エコシステム全体での Secure by Default の施行に向けた進捗は、マイクロソフトの Secure Future Initiative の原則と一致します。既定での NTLM 無効化が進むにつれて、Exchange Server、AD CS、LDAP で EPA を有効にするなど、即時かつ短期的な変更により、「既定で安全」な環境へと強化され、実際の攻撃からユーザーを保護します。近い将来、サポートしているすべてのバージョンで、既定でより安全が確保される NTLM 強化対策に投資する予定です。
このセキュリティ軽減策は、マイクロソフト内の多くのチームや組織 (特に Exchange と Windows) にわたる多大な努力の結果です。このブログに協力してくれたNino Bilic、Matthew Palko、Wayne McIntyreに感謝します。
Rohit Mothe
George Hughey
MSRC Vulnerabilities & Mitigations Team