新たなサイバーセキュリティ調査により、レガシーなWindows通信プロトコルが、ソフトウェアの脆弱性を悪用しなくても、組織を認証情報の窃取にさらし続けていることが明らかになりました。
本日Resecurityによって発表されたこの調査は、攻撃者がターゲットと同じローカルネットワーク上にいるだけでログインデータを取得できると警告しています。
依然として使用されているレガシー機能
リンクローカルマルチキャストネームリゾリューション(LLMNR)およびその前身であるNetBIOSネームサービス(NBT-NS)は、DNS検索が失敗した際にWindowsシステムが他のデバイスを見つけるために設計されました。しかし、これらのプロトコルはリクエストに応答するあらゆるデバイスを信用してしまうため、攻撃者が正規のシステムを装うことが可能となっています。
Responderなどのツールを使うことで、ハッカーはこれらのブロードキャストを傍受し、被害者のマシンを騙して認証データを送信させることができます。攻撃者はその後、ユーザー名、ドメイン情報、暗号化されたパスワードハッシュなどの情報を取得します。
「この攻撃はソフトウェアの脆弱性を悪用するものではありません」と調査は述べています。
「これはWindowsのデフォルトの挙動を利用しており、攻撃者が被害者と同じローカルネットワークセグメントに存在するだけで実行可能です。」
認証リスクについてさらに読む:アイデンティティリスク管理:一時的アカウントのロックダウン
組織にとって高まる懸念
一度盗まれると、取得されたデータはオフラインで解読されたり、リレー攻撃として再利用されたりします。これにより、企業のデータベース、ファイルサーバー、管理システムへの直接アクセスが可能となります。場合によっては、攻撃者が平文のパスワードを入手し、即座に機密データへアクセスできることもあります。
研究者らは、影響は単一のデバイスの侵害にとどまらないと警告しています。一度攻撃者が有効な認証情報を取得すると、ネットワーク内を横断して他のシステムやリソースへアクセスできるようになります。
そこから、管理者やサービスユーザーなどの高権限アカウントを標的にして権限を昇格させ、環境全体へのより広範なコントロールを得ることができます。
このようなアクセスは、広範囲なデータ漏洩、不正なシステム変更、さらには重要なビジネスサービスの中断や運用停止につながる可能性があります。大規模な組織では、その影響が部門全体に波及し、封じ込めや復旧がより複雑になります。
推奨される対策
調査では、リスクを軽減するためのいくつかの方法が示されています。組織には以下の対策が推奨されています:
-
グループポリシーを使用してLLMNRおよびNBT-NSを無効化する
-
マルチキャストクエリを防ぐためにUDPポート5355をブロックする
-
SMB署名を強制し、NTLM認証を減らす
-
フォールバック検索を避けるためにDNS設定を正確に保つ
セキュリティチームは、これらのプロトコル上での異常なトラフィックも監視することが推奨されており、これはアクティブな悪用の試みを示している可能性があります。
レポートによると、LLMNRおよびNBT-NSのポイズニングは、最も一般的(かつ防止可能な)ネットワーク攻撃の一つであり続けています。
「最も効果的な防御策は、LLMNRおよびNBT-NSを無効化し、Kerberosなどの安全な認証方式を強制し、DNSインフラストラクチャを適切に構成することで、これらのレガシープロトコルへの依存を排除することです」とResecurityは述べています。
「ネットワーク監視や認証情報の強化策と組み合わせることで、これらの対策はブロードキャストポイズニング攻撃による認証情報窃取のリスクを大幅に低減します。」
翻訳元: https://www.infosecurity-magazine.com/news/legacy-windows-protocols-expose/
