トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・Pass the Hash のバックアップ(No.3)


IPAセキュリティPT評価版?

・Pass the Hash (作成中)

戦術

水平展開

対象OS

  • Windows

必要なアクセス許可

User Administrator

概説

Windowsには、Kerberos認証、NTLM認証があります。このうちNTLM認証は、Kerberos認証が使えないドメインに参加していないメンバーサーバーやNASでの認証や、ローカルアカウントなどで利用される認証方法です。
このNTLM認証は端末のメモリ、レジストリにパスワードのNTLMハッシュ値を保存します。攻撃者はこのNTLMハッシュ値をツールを利用して窃取し、ログオンの際に、NTLMハッシュ値をベースにした認証情報を送信します。サーバー側も同様の情報を保有しているため、NTLMハッシュ値をベースに送られた認証情報をサーバー側でも計算し、合致すれば正しい資格情報が入力されたとしてログオンを許可します。1
攻撃者は、ツールを使いメモリ上やレジストリのSAM(Security Account Manage、アクセスには管理者権限が必要)にNTLMハッシュ値を取得し、正規のユーザーをなりすましパスワードを利用せず認証情報を計算してサーバーに送信し、ログオンします。
ローカルのAdministratorは端末の管理を容易にするため、全社的に統一されている場合が多く見受け荒れますが、ローカルのAdministratorのNTLMハッシュ値が取得されると、全社的な水平展開が可能となり、危険です。

緩和の方針

Pass The Hashは影響が大きいことから、Hashの取得阻止、取得された場合の展開の阻止の観点で防御を講じます。

Hashの取得阻止

  • Windows 8.1/Windows Server 2012から有効となっているLSA保護モードを展開します。
  • Windows 10 Enterprise Editionの場合、Credential Guardを展開します。

水平展開の阻止

  • UACをバイパスするビルトインAdministratorの使用を禁止し、他のIDでAdministratorsに参加します。
  • その上で、ネットワークログオンでローカルアカウントにUAC制限を適用するか、ネットワークログオンを禁止します。
  • 端末のローカルAdministraotrsのパスワードをすべてユニークにします。Microsoftから提供されているツール、LAPS(Local Administrator Password Solution) を利用します。

運用やNetworkが変更された場合の影響の有無

ローカルのAdministratorのパスワードの重複や、ビルトインAdministratorを使用した場合、攻撃のリスクが高まります。

優先すべき措置

LSA保護モードは、認証プロセスの一つであるlsass.exeを解析し、NTLM ハッシュ値のダンプを阻止します。

ユーザー運用管理責任

リスクの受容

啓発・教育

利用規定

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー

NWデザイン

アクセスコントロール

LSA保護を構成する方法:https://docs.microsoft.com/ja-jp/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection#BKMK_HowToConfigure

フィルタリング

ロール運用

マイクロソフト セキュリティ アドバイザリ 3062591 Local Administrator Password Solution (LAPS) の提供を開始:https://docs.microsoft.com/ja-jp/security-updates/securityadvisories/2015/3062591?redirectedfrom=MSDN

仮想端末運用

エンドポイント対策

受託開発ベンダー管理責任

セキュアコーディング

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。