・Pass the Hash のバックアップ(No.1)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・Pass the Hash へ行く。
- 1 (2019-11-14 (木) 13:46:46)
- 2 (2019-11-14 (木) 14:48:00)
- 3 (2019-11-15 (金) 10:00:26)
- 4 (2020-01-28 (火) 15:49:36)
- 5 (2020-01-28 (火) 17:00:20)
- 6 (2020-01-29 (水) 14:59:51)
- 7 (2020-01-30 (木) 11:42:29)
- 8 (2020-02-01 (土) 11:20:36)
- 9 (2020-02-01 (土) 12:48:06)
- 10 (2020-02-09 (日) 17:04:25)
- 11 (2020-02-10 (月) 10:27:24)
- 12 (2020-03-16 (月) 16:48:10)
- 13 (2020-03-19 (木) 14:56:00)
- 14 (2020-03-26 (木) 15:32:39)
- 15 (2020-07-25 (土) 16:33:18)
- 16 (2020-08-12 (水) 14:46:53)
- 17 (2020-08-30 (日) 08:19:05)
- 18 (2020-10-28 (水) 16:48:05)
- 19 (2020-10-29 (木) 17:33:15)
- 20 (2020-11-07 (土) 15:34:32)
・Pass the Hash †
戦術 †
水平展開
対象OS †
- Windows
必要なアクセス許可 †
User Administrator
概説 †
Windowsには、Kerberos認証、NTLM認証があります。このうちNTLM認証は、Kerberos認証が使えないドメインに参加していないメンバーサーバーやNASでの認証や、ローカルアカウントなどで利用される認証方法です。
このNTLM認証は端末のメモリ、レジストリにパスワードのNTLMハッシュ値を保存します。攻撃者はこのNTLMハッシュ値をツールを利用して窃取し、ログオンの際に、NTLMハッシュ値をベースにした認証情報を送信します。サーバー側も同様の情報を保有しているため、NTLMハッシュ値をベースに送られた認証情報をサーバー側でも計算し、合致すれば正しい資格情報が入力されたとしてログオンを許可します。1
攻撃者は、ツールを使いメモリ上やレジストリのNTLMハッシュ値を取得し、正規のユーザーをなりすましパスワードを利用せず認証情報を計算してサーバーに送信し、ログオンします。
ローカルのAdministratorは端末の管理を容易にするため、全社的に統一されている場合が多く見受け荒れますが、ローカルのAdministratorのNTLMハッシュ値が取得されると、全社的な水平展開が可能となり、危険です。
緩和の方針 †
水平展開の防御の観点から、ローカルのAdministratorのパスワードをすべてユニークにします。また、UACをバイパスするビルトインAdministratorの使用を禁止します。
さらに、端末のNTLMハッシュ値のダウンプを阻止するため、Windowsの保護機能であるLSA保護モードを展開します。
運用やNetworkが変更された場合の影響の有無 †
ローカルのAdmnistratorのパスワードの重複や、ビルトインAdministratorを使用した場合、攻撃のリスクが高まります。
優先すべき措置 †
LSA保護モード
ユーザー運用管理責任 †
リスクの受容 †
啓発・教育 †
利用規定 †
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
ポリシー †
NWデザイン †
アクセスコントロール †
フィルタリング †
ロール運用 †
仮想端末運用 †
エンドポイント対策 †
受託開発ベンダー管理責任 †
セキュアコーディング †
開発環境管理 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
サプライチェーン正常性維持" †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。