日本でも標的型攻撃が大きな話題となっていますが、標的型メール等の入り口の話に終始していることが多いように思います。しかし、標的型攻撃対策の難しさは、1 台の PC への攻撃をきっかけに、徐々に重要な権限を獲得し、最終的にはイントラネット全体を奪われる点にあります。このような、権限を獲得する代表的な手段として、Pass-the-Hash と呼ばれる手法が知られています。
Pass-the-Hash は、LM 認証や NTLM 認証といった、Windows 特有の認証システムの問題と考えられることが多いのですが、実際には Kerberos が攻撃の対象となることも少なくありません。
Kerberos では、Ticket Granting Ticket (TGT)が重要な意味を持ちます。TGT は Kerberos サービスの krbtgt アカウントのパスワードに基づいた情報で暗号化することで保護されます。しかし、この情報を攻撃者が手に入れた場合、配下にあるすべてのアカウントにアクセス許すことになります。
このリスクを回避するためには、定期的に krbtgt アカウントのパスワードをリセットすることが有効です。なお、悪用されている TGT を確実に無効化するためには、履歴から消去するために、リセットを 2 回行う必要があります。
krbtgt アカウントのパスワードをリセットした場合、新しい krbtgt キーの配布遅延によるエラーが発生する場合があります。2015 年 2 月にポストされた BLOG ”KRBTGT Account Password Reset Scripts now available for customers”では、安全に krbtgt アカウントのパスワードをリセットするための” krbtgt account password reset script” を紹介しています。
Kerberos は安全性の高い仕組みですが、適切な運用が不可欠です。加えて、この BLOG では、Pass-the-Hash などの認証情報に対する攻撃の全般的な対策も紹介をしていますので、リファレンスされているドキュメントも合わせてご覧ください。
KRBTGT Account Password Reset Scripts now available for customers
なお、MS14-068 を使った同様の攻撃手法については、ソフトバンク・テクノロジーの辻さんが書かれている、こちらの記事が参考になると思います。
CVE-2014-6324 - 脆弱性調査レポート
Windows の Kerberos 認証の脆弱性により、権限昇格が行える脆弱性(CVE-2014-6324)に関する調査レポート
https://www.softbanktech.jp/information/2014/20141217-01/
Pass-the-Hash の対策をするためには、上記の対策を行うだけでなく、総合的な対策が必要となります。上記、BLOG で紹介されている Pass-the-Hash 対策を以下にリファレンスしておきます。ぜひ、一度目を通してください。