Pass the Hash
設定対策?
Pass The Hash †
戦術 †
水平展開(横移動)
対象OS †
- Windows
必要なアクセス許可 †
- User
概説 †
ドメインコントローラーに接続できる環境では、通常、Kerberos認証によって認証が行われますが、社外でドメインコントローラーと通信できない環境では、Windows内のSAM(Security Account Manager)データベースのハッシュ化されたパスワード情報を使い、LSA (Local Security Authority) がドメインコントローラーに代わってログオンを許可します。
攻撃者は、このパスワードのハッシュ情報をツールを使って窃取し、他のPCへのリモートログオンを試行します。万一、すべての端末のローカルの管理者のパスワードが共通である場合、たった一つのパスワードハッシュでログオンが可能となり、感染の拡大を許してしまします。
Micrsoftが提供しているLAPSなどの無償ツールを使い、ローカルの管理者のパスワードをユニークにしておけば、水平展開が困難になり一時的に封じ込めることが可能となります。
攻撃評価 †
| 戦術分類 | 119 Value | Pen Value |
| 初期侵入 | 3 | 3 |
119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい
MITRE 緩和策 †
パスワードポリシー †
ビルトインおよび作成されたローカル管理者アカウントには、複雑で一意のパスワードを設定してください。
特権アカウント管理 †
システム間での資格情報の重複を制限して、資格情報の侵害による被害を防ぎ、システム間で横方向の移動を実行する敵の能力を低下させます。
ソフトウェアを更新する †
Windows 7以降のシステムにパッチKB2871997を適用して、ローカル管理者グループのアカウントのデフォルトアクセスを制限します。
ユーザーアカウント制御 †
ネットワークログオンでローカルアカウントにUAC制限を適用するには、ハッシュ緩和策を有効にします。関連付けられたレジストリキーはHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy、GPOを介して配置されます。[コンピューターの構成]> [ポリシー]> [管理用テンプレート]> [SCM]:ハッシュ緩和策を渡す:ネットワークログオンでローカルアカウントにUAC制限を適用します。
ユーザーアカウント管理 †
ドメインユーザーを複数のシステムのローカル管理者グループに入れないでください。
MITRE ATT&CK緩和策に対する議論 †
LAPSの導入は必須 †
Windows 10 STIG †
V-63597 ローカル管理者アカウントでは、ドメインシステム上のネットワークで昇格した特権が使用されないように、特権トークンをフィルタリングする必要があります。
V-63851 [ローカルログオンを許可する]ユーザー権利は、AdministratorsおよびUsersグループにのみ割り当てる必要があります。
V-63367 ドメイン内のシステムに標準のローカルユーザーアカウントが存在していてはなりません。
V-63371 パスワードの有効期限を要求するようにアカウントを構成する必要があります。
Windows Server 2016 STIG †
V-73495 ローカル管理者アカウントでは、ドメインシステム上のネットワークで昇格した特権が使用されないように、特権トークンをフィルタリングする必要があります。
V-73567 パスワードをリモートデスクトップクライアントに保存しないでください。
Active Directory Domain STIG †
V-36438 ドメインシステムのローカル管理者アカウントは、同じパスワードを共有しないでください。
Others †
マイクロソフトセキュリティレスポンスセンター ローカル管理者パスワードソリューション(LAPS)の提供を開始
マイクロソフトダウンロードセンター Local Administrator Password Solution (LAPS)