公開日:2024/12/12 最終更新日:2024/12/12

JVNVU#93812400
PDQ Deployのサービス実行中に資格情報が窃取される問題

概要

PDQ Deployの「Deploy User」Run Modeによるデプロイ処理中に、指定されたアカウントの資格情報が窃取される問題が報告されています。

影響を受けるシステム

PDQ Deployでソフトウェアやアップデートを展開しているデバイスおよびネットワーク内の他のデバイス

詳細情報

PDQ Deployの「Deploy User」Run Modeでネットワーク内の対象マシンにソフトウェアやアップデートを展開する場合、PDQ Deployは「Deploy User」として指定されたアカウントの資格情報を用いて対象デバイスに接続し、サービスを実行します。その際、PDQ Deployはアカウントの資格情報を一時的にデバイス上に保存しますが、そのタイミングで対象デバイス上でパスワードダンプツールなどを使用されると、一時保存された資格情報が窃取される可能性があります。

想定される影響

窃取された資格情報がドメインユーザのアカウントであった場合、Active Directoryを介してネットワーク内の他のデバイスへの横展開につながるおそれがあります。

対策方法

ワークアラウンドを実施する
次のワークアラウンドを実施することで、本問題の影響を軽減することが可能です。実施の際はPDQが公開している情報も参照してください。

  • Windows LAPS等を用いて各エンドポイントに固有のローカル管理者ユーザーとパスワードを使用する
  • エンドポイントで実行したいコマンドに必要な権限のみを持つ認証情報を選択する
  • ドメインコントローラへのアクション以外にドメイン管理者の認証情報を使用しない

ベンダ情報

ベンダ リンク
PDQ.com Corporation Adding and Using Multiple Credentials in PDQ Deploy & Inventory
PDQ Deploy Run Modes

参考情報

  1. CERT/CC Vulnerability Note VU#164934
    PDQ Deploy allows reuse of deleted credentials that can compromise a device and facilitate lateral movement

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia