「Windows 8.1」なら対応可能、手ごわい「Pass-the-hash」攻撃に備えるには という記事を見つけました
「Pass-the-hash」攻撃は、多くのシステム管理者の間で問題となっている。大半のネットワークでは「Windows」が広く使われているため、この攻撃は同OSの問題として知られているが、シングルサインオン(SSO)をサポートする全てのOSで問題となり得る。なお、「Windows Server 2012 R2」と「Windows 8.1」のセキュリティ機能には、この攻撃への対策が用意されている。
Pass-the-hashとは、ハッシュ化された資格情報を悪用した攻撃で、攻撃者がその資格情報を手に入れると、標的ユーザーが権限(アクセス権)を有する全てのリソースにアクセスできてしまう。
シングルサインオンには、Pass-the-hash攻撃の危険が付きまとう。この攻撃がいつ発生してもおかしくない。その可能性をなくすには、全社的にシングルサインオンを無効にするしかない。しかし、特定の政府機関を除けば、そうすることはユーザーや経営幹部が許さないだろう。そこで、このセキュリティリスクと付き合い、それをできるだけ軽減する方法を学ばなければならない。あなたの会社だけではない。米小売り大手Target、サウジアラビアの国営石油会社Saudi Aramco、米Wall Street Journal紙、米New York Times紙といった組織は、いずれもこの手の攻撃の被害にあったことが確認されている。
では、Pass-the-hashはどのような仕組みなのか。ユーザーがWindowsシステムに対して認証を行うと、一方向関数を使ってユーザーのパスワードからNTLM(NT LAN Manager)ハッシュが生成され、ローカルシステムに保存される。この認証子があると、他のシステムはそのユーザーにアクセスを許可する前に、パスワードを知っていることを証明するよう求めるが、WindowsはこのNTLMハッシュを他のシステムに送信し、この要求を満たす。通常、ユーザーにはそれを知らせない。
賢い攻撃者はユーザーをだまして何らかの操作をさせ、それに乗じてマルウェアを使ってそうした資格情報を手に入れ、システムに侵入し放題になる。残念ながら、そのプロセスでドメイン管理者やローカル管理者の資格情報が盗み取られてしまうことが多い。
Pass-the-hash攻撃には、資格情報をどこでどのように使うかによって2種類ある。
•資格情報の再利用:攻撃者がユーザーの資格情報を入手し、入力されたその認証子を再利用する。このハッシュは最初に特定された場所で、すなわち同一システム上で使われ、必ずしも拡散されない。
•資格情報の盗用:攻撃者が資格情報のセットを盗み出し、全く別の場所やシステムで使う。これによって脆弱なネットワークで攻撃が急速に拡大する。
Windows Server 2012 R2とWindows 8.1には、機密情報に関連するさまざまなシナリオでPass-the-hash攻撃を軽減できる以下のような新機能が搭載されている。
•ローカルアカウント:米MicrosoftはWindows 8.1とWindows Server 2012 R2で、「Local account」と「Local account and member of Administrators group」という2つの新しいWell Known SID(よく知られているSID)を導入した。これらのSID(セキュリティ識別子)は、「グループポリシー」や「ローカルセキュリティポリシー」でネットワーク経由でのシステムへのアクセスを拒否するために利用できる。「ネットワーク経由のアクセスを拒否」というポリシーの値としてこの2つの新しいSIDを追加すれば、保存されている資格情報が盗まれても、管理者アクセスを制限できる。
•ドメインアカウント:ドメインアカウントの再利用は困難だが、Microsoftは、資格情報を再利用できる範囲の縮小、ユーザーがパスワードの再入力を求められるセッションタイムアウトまでの時間の大幅な短縮、新しいグローバルセキュリティグループ「Protected Users」の導入によってWindows 8.1のセキュリティを強化した。さらに、「ローカルセキュリティ機関サブシステムサービス(LSASS)」プロセスに手を加え、このプロセスが特定のシナリオで認証方法をよりインテリジェントに選択できるようにした。
•リモート管理の制限:一部のデスクトップ管理者は、Microsoftの「リモートデスクトップ接続」クライアントを使ってローカル管理者またはドメイン管理者として他のシステムにログインすると、それらのシステムがPass-the-hash攻撃を受ける恐れがあることを知らないかもしれない。Windows 8.1より前のバージョンのWindowsでは、他のサービスと同様にこれらの管理者の資格情報がハッシュとして他のシステムに送信される。Windows 8.1では、リモートデスクトップに制限付き管理(Restricted Admin)モードが導入された。リモートデスクトップ接続(mstsc.exe)を、このモードのスイッチ(/restrictedadmin)を付けて実行すると(mstsc/restrictedadmin)、そのデバイスから他のシステムにハッシュを渡すことなく、そのマシンに対して直接認証を行うことになる。これによってこのベクトルの攻撃が防止される。資格情報が共有されないからだ。
•認証ポリシーとサイロ:Windows Server 2012 R2ドメインの機能レベルが設定されたドメインでは、「認証ポリシーサイロ」と呼ばれるコンテナに、管理者がユーザーやコンピュータなどのアカウントを割り当て、これらのアカウントの集合を、そのコンテナに割り当てられた「認証ポリシー」で管理できるようになった。同OSで導入されたこの新機能により、高い特権を持つ資格情報の使用を特定のシステムのみに限定できる。機密情報を扱うユーザーやコンピュータのアカウントをこのサイロに割り当てることで、侵害されたアカウントからPass-the-hash攻撃が拡大するのを防げる。
だが、この対策は、「Active Directory」を運用している組織から一番敬遠されそうだ。機能レベルの依存関係から、全てのドメインコントローラーをWindows Serverの最新版にアップデートしなければならないからだ。
理解に苦労しますね
「Pass-the-hash」攻撃は、多くのシステム管理者の間で問題となっている。大半のネットワークでは「Windows」が広く使われているため、この攻撃は同OSの問題として知られているが、シングルサインオン(SSO)をサポートする全てのOSで問題となり得る。なお、「Windows Server 2012 R2」と「Windows 8.1」のセキュリティ機能には、この攻撃への対策が用意されている。
Pass-the-hashとは、ハッシュ化された資格情報を悪用した攻撃で、攻撃者がその資格情報を手に入れると、標的ユーザーが権限(アクセス権)を有する全てのリソースにアクセスできてしまう。
シングルサインオンには、Pass-the-hash攻撃の危険が付きまとう。この攻撃がいつ発生してもおかしくない。その可能性をなくすには、全社的にシングルサインオンを無効にするしかない。しかし、特定の政府機関を除けば、そうすることはユーザーや経営幹部が許さないだろう。そこで、このセキュリティリスクと付き合い、それをできるだけ軽減する方法を学ばなければならない。あなたの会社だけではない。米小売り大手Target、サウジアラビアの国営石油会社Saudi Aramco、米Wall Street Journal紙、米New York Times紙といった組織は、いずれもこの手の攻撃の被害にあったことが確認されている。
では、Pass-the-hashはどのような仕組みなのか。ユーザーがWindowsシステムに対して認証を行うと、一方向関数を使ってユーザーのパスワードからNTLM(NT LAN Manager)ハッシュが生成され、ローカルシステムに保存される。この認証子があると、他のシステムはそのユーザーにアクセスを許可する前に、パスワードを知っていることを証明するよう求めるが、WindowsはこのNTLMハッシュを他のシステムに送信し、この要求を満たす。通常、ユーザーにはそれを知らせない。
賢い攻撃者はユーザーをだまして何らかの操作をさせ、それに乗じてマルウェアを使ってそうした資格情報を手に入れ、システムに侵入し放題になる。残念ながら、そのプロセスでドメイン管理者やローカル管理者の資格情報が盗み取られてしまうことが多い。
Pass-the-hash攻撃には、資格情報をどこでどのように使うかによって2種類ある。
•資格情報の再利用:攻撃者がユーザーの資格情報を入手し、入力されたその認証子を再利用する。このハッシュは最初に特定された場所で、すなわち同一システム上で使われ、必ずしも拡散されない。
•資格情報の盗用:攻撃者が資格情報のセットを盗み出し、全く別の場所やシステムで使う。これによって脆弱なネットワークで攻撃が急速に拡大する。
Windows Server 2012 R2とWindows 8.1には、機密情報に関連するさまざまなシナリオでPass-the-hash攻撃を軽減できる以下のような新機能が搭載されている。
•ローカルアカウント:米MicrosoftはWindows 8.1とWindows Server 2012 R2で、「Local account」と「Local account and member of Administrators group」という2つの新しいWell Known SID(よく知られているSID)を導入した。これらのSID(セキュリティ識別子)は、「グループポリシー」や「ローカルセキュリティポリシー」でネットワーク経由でのシステムへのアクセスを拒否するために利用できる。「ネットワーク経由のアクセスを拒否」というポリシーの値としてこの2つの新しいSIDを追加すれば、保存されている資格情報が盗まれても、管理者アクセスを制限できる。
•ドメインアカウント:ドメインアカウントの再利用は困難だが、Microsoftは、資格情報を再利用できる範囲の縮小、ユーザーがパスワードの再入力を求められるセッションタイムアウトまでの時間の大幅な短縮、新しいグローバルセキュリティグループ「Protected Users」の導入によってWindows 8.1のセキュリティを強化した。さらに、「ローカルセキュリティ機関サブシステムサービス(LSASS)」プロセスに手を加え、このプロセスが特定のシナリオで認証方法をよりインテリジェントに選択できるようにした。
•リモート管理の制限:一部のデスクトップ管理者は、Microsoftの「リモートデスクトップ接続」クライアントを使ってローカル管理者またはドメイン管理者として他のシステムにログインすると、それらのシステムがPass-the-hash攻撃を受ける恐れがあることを知らないかもしれない。Windows 8.1より前のバージョンのWindowsでは、他のサービスと同様にこれらの管理者の資格情報がハッシュとして他のシステムに送信される。Windows 8.1では、リモートデスクトップに制限付き管理(Restricted Admin)モードが導入された。リモートデスクトップ接続(mstsc.exe)を、このモードのスイッチ(/restrictedadmin)を付けて実行すると(mstsc/restrictedadmin)、そのデバイスから他のシステムにハッシュを渡すことなく、そのマシンに対して直接認証を行うことになる。これによってこのベクトルの攻撃が防止される。資格情報が共有されないからだ。
•認証ポリシーとサイロ:Windows Server 2012 R2ドメインの機能レベルが設定されたドメインでは、「認証ポリシーサイロ」と呼ばれるコンテナに、管理者がユーザーやコンピュータなどのアカウントを割り当て、これらのアカウントの集合を、そのコンテナに割り当てられた「認証ポリシー」で管理できるようになった。同OSで導入されたこの新機能により、高い特権を持つ資格情報の使用を特定のシステムのみに限定できる。機密情報を扱うユーザーやコンピュータのアカウントをこのサイロに割り当てることで、侵害されたアカウントからPass-the-hash攻撃が拡大するのを防げる。
だが、この対策は、「Active Directory」を運用している組織から一番敬遠されそうだ。機能レベルの依存関係から、全てのドメインコントローラーをWindows Serverの最新版にアップデートしなければならないからだ。
理解に苦労しますね
※コメント投稿者のブログIDはブログ作成者のみに通知されます