・Pass the Hash のバックアップ(No.5)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・Pass the Hash へ行く。
- 1 (2019-11-14 (木) 13:46:46)
- 2 (2019-11-14 (木) 14:48:00)
- 3 (2019-11-15 (金) 10:00:26)
- 4 (2020-01-28 (火) 15:49:36)
- 5 (2020-01-28 (火) 17:00:20)
- 6 (2020-01-29 (水) 14:59:51)
- 7 (2020-01-30 (木) 11:42:29)
- 8 (2020-02-01 (土) 11:20:36)
- 9 (2020-02-01 (土) 12:48:06)
- 10 (2020-02-09 (日) 17:04:25)
- 11 (2020-02-10 (月) 10:27:24)
- 12 (2020-03-16 (月) 16:48:10)
- 13 (2020-03-19 (木) 14:56:00)
- 14 (2020-03-26 (木) 15:32:39)
- 15 (2020-07-25 (土) 16:33:18)
- 16 (2020-08-12 (水) 14:46:53)
- 17 (2020-08-30 (日) 08:19:05)
- 18 (2020-10-28 (水) 16:48:05)
- 19 (2020-10-29 (木) 17:33:15)
- 20 (2020-11-07 (土) 15:34:32)
IPAセキュリティPT評価版?
・Pass the Hash (作成中) †
戦術 †
水平展開
対象OS †
- Windows
必要なアクセス許可 †
User Administrator
概説 †
Windowsには、Kerberos認証、NTLM認証があります。このうちNTLM認証は、Kerberos認証が使えないドメインに参加していないメンバーサーバーやNASでの認証、ローカルアカウントなどで利用される認証方法です。
このNTLM認証は端末のメモリ、レジストリにパスワードのNTLMハッシュ値を保存します。攻撃者はこのNTLMハッシュ値をツールを利用して窃取し、ログオンの際に、NTLMハッシュ値をベースにした認証情報を送信します。サーバー側も同様の情報を保有しているため、NTLMハッシュ値をベースに送られた認証情報をサーバー側でも計算し、合致すれば正しい資格情報が入力されたとしてログオンを許可します。1
攻撃者は、ツールを使いメモリ上やレジストリのSAM(Security Account Manager、アクセスには管理者権限が必要)のNTLMハッシュ値を取得し、正規のユーザーをなりすましパスワードを利用せず認証情報を計算してサーバーに送信し、ログオンします。
ローカルのAdministratorは端末の管理を容易にするため、全社的に統一されている場合が多く見受け荒れますが、ローカルのAdministratorのNTLMハッシュ値が取得されると、全社的な水平展開が可能となり、危険です。
緩和の方針 †
Pass The Hashは影響が大きいことから、①Hashの取得阻止、②取得された場合の展開の阻止の観点で防御を講じます。
LSASS保護 + 認証情報の削減 †
| 対策 | 目的 | 対策の効果 | 対策作業量 |
| Windows Defender Credential Guard | 独立した仮想領域に資格情報を隔離します。LSASS プロセスに対する正当なRPC呼び出し以外のアクセスを不可能とすることで、資格情報の窃盗を防ぎます。 ※Windows 10 Enterprise エディションが必要 | 非常に高い | 高 |
| LSA 保護モードの有効化 | LSASS プロセスに対する悪意のあるプラグインやコードの挿入を防止し、プロセスが保持している資格情報の窃盗を防ぎます。 (レジストリで有効化) | 高 | 高 |
| 既定の Local Administrator の無効化 | 既知のアカウントを狙った攻撃を防ぎます。 | 高 | 低 |
| 一般ユーザーをローカル管理者グループから外す | 資格情報窃取やシステムへの攻撃を防ぎます。 | 非常に高い | 高 |
| セキュリティ更新プログラムの適用 | 脆弱性を悪用する攻撃を防ぎます。 ※特に特権昇格、情報漏洩、バイパスの脆弱性 | 中 | 中 |
| 平文パスワードを保存しない | LSASSメモリに平文パスワードを保存しないことで、攻撃者の窃盗を防ぎます。 WDigest authenticationを無効にします。 | 中 | 低 |
| LM ハッシュを保存しない | LM ハッシュは総当たり攻撃などに対して脆弱であるため、パスワード解析のリスクを減らします。 | 中 | 低 |
| ログオフ後の資格情報消去 | ユーザーのログオフ後に LSASS メモリから消去します。 | 低 | 高 |
| NTLMプロトコルを無効にする | NTLM 認証を利用しないことで、NTLM ハッシュを悪用する攻撃を防ぎます。 ※事前に十分な検証が必要です。 | 低 | 高 |
| ARSO 無効化 | Windows 8.1 以降の Automatic Restart Sign-On (ARSO) による資格情報保持を無効化します。 | 中 | 低 |
水平展開の阻止 †
- UACをバイパスするビルトインAdministratorの使用を禁止し、他のIDでAdministratorsに参加します。
- その上で、ネットワークログオンでローカルアカウントにUAC制限を適用するか、ネットワークログオンを禁止します。
- 端末のローカルAdministraotrsのパスワードをすべてユニークにします。Microsoftから提供されているツール、LAPS(Local Administrator Password Solution) を利用します。
運用やNetworkが変更された場合の影響の有無 †
ローカルのAdministratorのパスワードの重複や、ビルトインAdministratorを使用した場合、攻撃のリスクが高まります。
優先すべき措置 †
LSA保護モードは、認証プロセスの一つであるlsass.exeを解析し、NTLM ハッシュ値のダンプを阻止します。
ユーザー運用管理責任 †
リスクの受容 †
Pass The Hash は攻撃者にとって水平展開を図る最も有効な攻撃手法であり、拡散防止の観点からリスク受容は困難と考えられます。
啓発・教育 †
「一般ユーザーをローカル管理者グループから外す」ことで、アプリケーションのインストールや各種設定の際に手間が増えますが、最も安価かつ最も攻撃の耐性が高くなることについて、理解を求めてください。また、「一般ユーザーをローカル管理者グループから外す」を実施しないことで、コストの高いシステム監査が必要になることについても理解を得てください。
利用規定 †
端末管理規定に「一般ユーザーをローカル管理者グループから外す」措置を実施しない端末の文書化を追加します。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
ポリシー †
NWデザイン †
アクセスコントロール †
フィルタリング †
ロール運用 †
マイクロソフト セキュリティ アドバイザリ 3062591 Local Administrator Password Solution (LAPS) の提供を開始:https://docs.microsoft.com/ja-jp/security-updates/securityadvisories/2015/3062591?redirectedfrom=MSDN
仮想端末運用 †
エンドポイント対策 †
受託開発ベンダー管理責任 †
セキュアコーディング †
開発環境管理 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
サプライチェーン正常性維持" †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。