トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・Pass the Hash のバックアップ(No.1)


IPA一般公開用? 設定対策?

・Pass the Hash

戦術

水平展開

対象OS

  • Windows

必要なアクセス許可

User Administrator

概説

Windowsには、Kerberos認証、NTLM認証があります。このうちNTLM認証は、Kerberos認証が使えないドメインに参加していないメンバーサーバーやNASでの認証や、ローカルアカウントなどで利用される認証方法です。
このNTLM認証は端末のメモリ、レジストリにパスワードのNTLMハッシュ値を保存します。攻撃者はこのNTLMハッシュ値をツールを利用して窃取し、ログオンの際に、NTLMハッシュ値をベースにした認証情報を送信します。サーバー側も同様の情報を保有しているため、NTLMハッシュ値をベースに送られた認証情報をサーバー側でも計算し、合致すれば正しい資格情報が入力されたとしてログオンを許可します。1
攻撃者は、ツールを使いメモリ上やレジストリのNTLMハッシュ値を取得し、正規のユーザーをなりすましパスワードを利用せず認証情報を計算してサーバーに送信し、ログオンします。
ローカルのAdministratorは端末の管理を容易にするため、全社的に統一されている場合が多く見受け荒れますが、ローカルのAdministratorのNTLMハッシュ値が取得されると、全社的な水平展開が可能となり、危険です。

緩和の方針

水平展開の防御の観点から、ローカルのAdministratorのパスワードをすべてユニークにします。また、UACをバイパスするビルトインAdministratorの使用を禁止します。
さらに、端末のNTLMハッシュ値のダウンプを阻止するため、Windowsの保護機能であるLSA保護モードを展開します。

運用やNetworkが変更された場合の影響の有無

ローカルのAdmnistratorのパスワードの重複や、ビルトインAdministratorを使用した場合、攻撃のリスクが高まります。

優先すべき措置

LSA保護モード

ユーザー運用管理責任

リスクの受容

啓発・教育

利用規定

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー

NWデザイン

アクセスコントロール

フィルタリング

ロール運用

仮想端末運用

エンドポイント対策

受託開発ベンダー管理責任

セキュアコーディング

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。