日本でも標的型攻撃が大きな話題となっていますが、標的型メール等の入り口の話に終始していることが多いように思います。しかし、標的型攻撃対策の難しさは、1台のPCへの攻撃をきっかけに、徐々に重要な権限を獲得し、最終的にはイントラネット全体を奪われる点にあります。このような、権限を獲得する代表的な手段として、Pass-the-Hashと呼ばれる手法が知られています。
Pass-the-Hashは、LM認証やNTLM認証といった、Windows特有の認証システムの問題と考えられることが多いのですが、実際にはKerberosが攻撃の対象となることも少なくありません。
Kerberosでは、Ticket Granting Ticket (TGT)が重要な意味を持ちます。TGTはKerberosサービスのkrbtgtアカウントのパスワードに基づいた情報で暗号化することで保護されます。しかし、この情報を攻撃者が手に入れた場合、配下にあるすべてのアカウントにアクセス許すことになります。
このリスクを回避するためには、定期的にkrbtgtアカウントのパスワードをリセットすることが有効です。なお、悪用されているTGTを確実に無効化するためには、履歴から消去するために、リセットを2回行う必要があります。
krbtgtアカウントのパスワードをリセットした場合、新しいkrbtgtキーの配布遅延によるエラーが発生する場合があります。2015年2月にポストされたBLOG ”KRBTGT Account Password Reset Scripts now available for customers”では、安全にkrbtgtアカウントのパスワードをリセットするための” krbtgt account password reset script” を紹介しています。
Kerberosは安全性の高い仕組みですが、適切な運用が不可欠です。加えて、このBLOGでは、Pass-the-Hashなどの認証情報に対する攻撃の全般的な対策も紹介をしていますので、リファレンスされているドキュメントも合わせてご覧ください。
KRBTGT Account Password Reset Scripts now available for customers
なお、MS14-068を使った同様の攻撃手法については、ソフトバンク・テクノロジーの辻さんが書かれている、こちらの記事が参考になると思います。
CVE-2014-6324 - 脆弱性調査レポート
WindowsのKerberos認証の脆弱性により、権限昇格が行える脆弱性(CVE-2014-6324)に関する調査レポート
https://www.softbanktech.jp/information/2014/20141217-01/
Pass-the-Hashの対策をするためには、上記の対策を行うだけでなく、総合的な対策が必要となります。上記、BLOGで紹介されているPass-the-Hash対策を以下にリファレンスしておきます。ぜひ、一度目を通してください。
- New Strategies and Features to Help Organizations Better Protect Against Pass-the-Hash Attacks
- New Guidance to Mitigate Determined Adversaries’ Favorite Attack: Pass-the-Hash
- Targeted Attacks Video Series
- You asked, we answered: #AskPtH Questions and Answers