・Pass the Hash のバックアップ(No.2)

IPA一般公開用? 設定対策?

・Pass the Hash †

↑

戦術 †

水平展開

↑

対象OS †

Windows

↑

必要なアクセス許可 †

User Administrator

↑

概説 †

Windowsには、Kerberos認証、NTLM認証があります。このうちNTLM認証は、Kerberos認証が使えないドメインに参加していないメンバーサーバーやNASでの認証や、ローカルアカウントなどで利用される認証方法です。
このNTLM認証は端末のメモリ、レジストリにパスワードのNTLMハッシュ値を保存します。攻撃者はこのNTLMハッシュ値をツールを利用して窃取し、ログオンの際に、NTLMハッシュ値をベースにした認証情報を送信します。サーバー側も同様の情報を保有しているため、NTLMハッシュ値をベースに送られた認証情報をサーバー側でも計算し、合致すれば正しい資格情報が入力されたとしてログオンを許可します。1
攻撃者は、ツールを使いメモリ上やレジストリのSAM（Security Account Manage、アクセスには管理者権限が必要)にNTLMハッシュ値を取得し、正規のユーザーをなりすましパスワードを利用せず認証情報を計算してサーバーに送信し、ログオンします。
ローカルのAdministratorは端末の管理を容易にするため、全社的に統一されている場合が多く見受け荒れますが、ローカルのAdministratorのNTLMハッシュ値が取得されると、全社的な水平展開が可能となり、危険です。

↑

緩和の方針 †

Pass The Hashは影響が大きいことから、Hashの取得阻止、取得された場合の展開の阻止の観点で防御を講じます。

↑

Hashの取得阻止 †

Windows 8.1/Windows Server 2012から有効となっているLSA保護モードを展開します。
Windows 10 Enterprise Editionの場合、Credential Guardを展開します。

↑

水平展開の阻止 †

UACをバイパスするビルトインAdministratorの使用を禁止し、他のIDでAdministratorsに参加します。
その上で、ネットワークログオンでローカルアカウントにUAC制限を適用するか、ネットワークログオンを禁止します。
端末のローカルAdministraotrsのパスワードをすべてユニークにします。Microsoftから提供されているツール、LAPS(Local Administrator Password Solution) を利用します。

↑