・Pass the Hash のバックアップ(No.4)

IPAセキュリティPT評価版?

・Pass the Hash (作成中） †

↑

戦術 †

水平展開

↑

対象OS †

Windows

↑

必要なアクセス許可 †

User Administrator

↑

概説 †

Windowsには、Kerberos認証、NTLM認証があります。このうちNTLM認証は、Kerberos認証が使えないドメインに参加していないメンバーサーバーやNASでの認証、ローカルアカウントなどで利用される認証方法です。
このNTLM認証は端末のメモリ、レジストリにパスワードのNTLMハッシュ値を保存します。攻撃者はこのNTLMハッシュ値をツールを利用して窃取し、ログオンの際に、NTLMハッシュ値をベースにした認証情報を送信します。サーバー側も同様の情報を保有しているため、NTLMハッシュ値をベースに送られた認証情報をサーバー側でも計算し、合致すれば正しい資格情報が入力されたとしてログオンを許可します。1
攻撃者は、ツールを使いメモリ上やレジストリのSAM（Security Account Manager、アクセスには管理者権限が必要)のNTLMハッシュ値を取得し、正規のユーザーをなりすましパスワードを利用せず認証情報を計算してサーバーに送信し、ログオンします。
ローカルのAdministratorは端末の管理を容易にするため、全社的に統一されている場合が多く見受け荒れますが、ローカルのAdministratorのNTLMハッシュ値が取得されると、全社的な水平展開が可能となり、危険です。

↑

緩和の方針 †

Pass The Hashは影響が大きいことから、①Hashの取得阻止、②取得された場合の展開の阻止の観点で防御を講じます。

↑

LSASS保護 + 認証情報の削減 †

対策	目的	対策の効果	対策作業量
Windows Defender Credential Guard	独立した仮想領域に資格情報を隔離します。LSASS プロセスに対する正当なRPC呼び出し以外のアクセスを不可能とすることで、資格情報の窃盗を防ぎます。 Windows 10 Enterprise エディションが必要	非常に高い	高
LSA 保護モードの有効化	LSASS プロセスに対する悪意のあるプラグインやコードの挿入を防止し、プロセスが保持している資格情報の窃盗を防ぎます。 (レジストリで有効化）	高	高
既定の Local Administrator の無効化	既知のアカウントを狙った攻撃を防ぎます。	高	低
一般ユーザーをローカル管理者グループから外す	資格情報窃取やシステムへの攻撃を防ぎます。	非常に高い	高
セキュリティ更新プログラムの適用	脆弱性を悪用する攻撃を防ぎます。 ※特に特権昇格、情報漏洩、バイパスの脆弱性	中	中
平文パスワードを保存しない	LSASSメモリに平文パスワードを保存しないことで、攻撃者の窃盗を防ぎます。	中	低
LM ハッシュを保存しない	LM ハッシュは総当たり攻撃などに対して脆弱であるため、パスワード解析のリスクを減らします。	中	低
ログオフ後の資格情報消去	ユーザーのログオフ後に LSASS メモリから消去します。	低	高
NTLMプロトコルを無効にする	NTLM 認証を利用しないことで、NTLM ハッシュを悪用する攻撃を防ぎます。 ※事前に十分な検証が必要です。	低	高
ARSO 無効化	Windows 8.1 以降の Automatic Restart Sign-On (ARSO) による資格情報保持を無効化します。	中	低

↑

水平展開の阻止 †

UACをバイパスするビルトインAdministratorの使用を禁止し、他のIDでAdministratorsに参加します。
その上で、ネットワークログオンでローカルアカウントにUAC制限を適用するか、ネットワークログオンを禁止します。
端末のローカルAdministraotrsのパスワードをすべてユニークにします。Microsoftから提供されているツール、LAPS(Local Administrator Password Solution) を利用します。

↑