トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

悪意あるWindowsサービスの実行 のバックアップ(No.3)


設定対策?

悪意あるWindowsサービスの実行

攻撃評価

戦術分類119 ValuePen Value
初期侵入33

119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい

MITRE 緩和策

特権アカウント管理

アクセス許可によって、上位のアクセス許可レベルで実行されるサービスが、下位のアクセス許可レベルを持つユーザーによって作成または操作されないようにしてください。

psexeを使用せずアンインストールする、もしくは -uオプションを使用しない。(Pass the Hashのおそれ、必ず管理者のコンテキストでKervberos認証されるようにする)

ファイルとディレクトリのアクセス許可を制限する

アクセス許可レベルの高いサービスバイナリを、アクセス許可レベルの低いユーザーが置換または変更できないようにしてください。

CWE-428:引用符で囲まれていない検索パスまたは要素に該当するサードパーティ製のWindowsサービスを修正する。 空白を含むパスを正しく "C:\Program Files\abc\service.exe" ダブルクォテーションで囲まないと、プログラム C:\Program.exe 引数 file\abc\service.exe という解釈ができ、Program.exe がローカルシステムアカウントで実行できる。

Windows 10 STIG

V-63889 認証後のクライアントの偽装ユーザー権利は、管理者、サービス、ローカルサービス、およびネットワークサービスにのみ割り当てる必要があります。

Windows 2016 STIG

V-73785 認証後のクライアントの偽装ユーザー権利は、管理者、サービス、ローカルサービス、およびネットワークサービスにのみ割り当てる必要があります。