トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・Pass the Hash のバックアップ(No.6)


IPAセキュリティPT評価版?

・Pass the Hash (作成中)

戦術

水平展開

対象OS

  • Windows

必要なアクセス許可

User Administrator

概説

Windowsには、Kerberos認証、NTLM認証があります。このうちNTLM認証は、Kerberos認証が使えないドメインに参加していないメンバーサーバーやNASでの認証、ローカルアカウントなどで利用される認証方法です。
このNTLM認証は端末のメモリ、レジストリにパスワードのNTLMハッシュ値を保存します。攻撃者はこのNTLMハッシュ値をツールを利用して窃取し、ログオンの際に、NTLMハッシュ値をベースにした認証情報を送信します。サーバー側も同様の情報を保有しているため、NTLMハッシュ値をベースに送られた認証情報をサーバー側でも計算し、合致すれば正しい資格情報が入力されたとしてログオンを許可します。1
攻撃者は、ツールを使いメモリ上やレジストリのSAM(Security Account Manager、アクセスには管理者権限が必要)のNTLMハッシュ値を取得し、正規のユーザーをなりすましパスワードを利用せず認証情報を計算してサーバーに送信し、ログオンします。
ローカルのAdministratorは端末の管理を容易にするため、全社的に統一されている場合が多く見受け荒れますが、ローカルのAdministratorのNTLMハッシュ値が取得されると、全社的な水平展開が可能となり、危険です。

緩和の方針

Pass The Hashは影響が大きいことから、①Hashの取得阻止、②取得された場合の展開の阻止の観点で防御を講じます。

運用やNetworkが変更された場合の影響の有無

ローカルのAdministratorのパスワードの重複や、ビルトインAdministratorを使用した場合、攻撃のリスクが高まります。

優先すべき措置

LSA保護モードは、認証プロセスの一つであるlsass.exeを解析し、NTLM ハッシュ値のダンプを阻止します。

ユーザー運用管理責任

リスクの受容

Pass The Hash は攻撃者にとって水平展開を図る最も有効な攻撃手法であり、拡散防止の観点からリスク受容は困難と考えられます。

啓発・教育

「一般ユーザーをローカル管理者グループから外す」ことで、アプリケーションのインストールや各種設定の際に手間が増えますが、最も安価かつ最も攻撃の耐性が高くなることについて、理解を求めてください。また、「一般ユーザーをローカル管理者グループから外す」を実施しないことで、コストの高いシステム監査が必要になることについても理解を得てください。

利用規定

端末管理規定に「一般ユーザーをローカル管理者グループから外す」措置を実施しない端末の文書化を追加します。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー

LSASS保護 + 認証情報の削減[#zc38f398]

対策目的対策の効果対策作業量
Windows Defender Credential Guard独立した仮想領域に資格情報を隔離します。LSASS プロセスに対する正当なRPC呼び出し以外のアクセスを不可能とすることで、資格情報の窃盗を防ぎます。
※Windows 10 Enterprise エディションが必要
非常に高い
LSA 保護モードの有効化LSASS プロセスに対する悪意のあるプラグインやコードの挿入を防止し、プロセスが保持している資格情報の窃盗を防ぎます。
(レジストリで有効化)
既定の Local Administrator の無効化既知のアカウントを狙った攻撃を防ぎます。
一般ユーザーをローカル管理者グループから外す資格情報窃取やシステムへの攻撃を防ぎます。非常に高い
セキュリティ更新プログラムの適用脆弱性を悪用する攻撃を防ぎます。
※特に特権昇格、情報漏洩、バイパスの脆弱性
平文パスワードを保存しないLSASSメモリに平文パスワードを保存しないことで、攻撃者の窃盗を防ぎます。
WDigest authenticationを無効にします。
※Windows 8.1, Windows Server 2012 R2 以降は既定で有効
LM ハッシュを保存しないLM ハッシュは総当たり攻撃などに対して脆弱であるため、パスワード解析のリスクを減らします。
※次回のパスワード変更時に LAN Manager のハッシュ値を保存しない
ログオフ後の資格情報消去ユーザーのログオフ後に LSASS メモリから消去します。
※Windows 8.1, Windows Server 2012 R2 以降は既定で有効
NTLMプロトコルを無効にするNTLM 認証を利用しないことで、NTLM ハッシュを悪用する攻撃を防ぎます。
※事前に十分な検証が必要です。
ARSO 無効化Windows 8.1 以降の Automatic Restart Sign-On (ARSO) による資格情報保持を無効化します。

水平展開の阻止 [#q0c21d7d]

  • UACをバイパスするビルトインAdministratorの使用を禁止し、他のIDでAdministratorsに参加します。
  • その上で、ネットワークログオンでローカルアカウントにUAC制限を適用するか、ネットワークログオンを禁止します。
  • 端末のローカルAdministraotrsのパスワードをすべてユニークにします。Microsoftから提供されているツール、LAPS(Local Administrator Password Solution) を利用します。

NWデザイン

アクセスコントロール

LSA保護を構成する方法:https://docs.microsoft.com/ja-jp/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection#BKMK_HowToConfigure

フィルタリング

ロール運用

マイクロソフト セキュリティ アドバイザリ 3062591 Local Administrator Password Solution (LAPS) の提供を開始:https://docs.microsoft.com/ja-jp/security-updates/securityadvisories/2015/3062591?redirectedfrom=MSDN

仮想端末運用

エンドポイント対策

受託開発ベンダー管理責任

セキュアコーディング

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。