Windows向けソフトウェアデプロイツールに資格情報窃取のおそれ

ソフトウェアの展開やパッチ管理などの機能を備えた管理者向けツール「PDQ Deploy」において資格情報を窃取される脆弱性が指摘されている。

デプロイの処理中に指定されたアカウントの資格情報が窃取される危険性が指摘されているもの。CERT/CCが現地時間12月11日にアドバイザリを公開、JVNを通じても注意が呼びかけられている。

実行モード「Deploy User」を用いた際に、安全でない方法で資格情報を作成して対象デバイスに一時保存するが、その間に「Mimikatz」といったパスワードダンプツールで資格情報の窃取が可能になるという。

ドメインアカウントを窃取された場合、「Active Directory」を介してネットワーク内の他デバイスに対してラテラルムーブメントが可能となるなど危険性が指摘されている。

「Logged on User」モードなど別の実行モードを利用することで攻撃は防げるが、エンタープライズ版のみ備えるなど制限があるという。

CERT/CCでは、脆弱性を軽減するためにWindowsの「LAPS」を使用するよう推奨。また開発元より提供されているベストプラクティスを実践するなど対策を呼びかけている。

（Security NEXT - 2024/12/17 ）ツイート