サイバーニュース.jp

世界のサイバーなニュースを配信

MandiantがNTLMv1管理者パスワードを解読するレインボーテーブルを公開

カテゴリ:

MandiantがNTLMv1管理者パスワード解読用のレインボーテーブルを公開

セキュリティ企業Mandiantは、Net-NTLMv1認証ハッシュを解読するための包括的なレインボーテーブルを一般公開しました。これにより、20年以上にわたり存在していたセキュリティ上の重大なギャップに対処し、この非推奨かつ本質的に安全ではないプロトコルからの移行の緊急性を強調しています。

これらのテーブルの公開は、セキュリティコミュニティがレガシープロトコルの脆弱性に対処する方法における重要な転換点を示しています。組織的な惰性によりNTLMv1がいまだに現役環境で使われている状況に対し、技術的な必要性ではなく、その危険性を明確に突きつけるものです。

NTLMv1の脅威の「民主化」と技術的脆弱性

これまで、Net-NTLMv1ハッシュの解読には、機密性の高い認証情報をサードパーティサービスにアップロードするか、高価な特殊ハードウェアへの投資が必要でした。しかし、Mandiantが公開したデータセットはこれらの障壁を排除し、セキュリティ専門家が600ドル未満の市販ハードウェアを使って12時間以内にパスワードを回復できるようにします。

この脆弱性テストの「民主化」は、Net-NTLMv1を理論上のリスクから、組織がもはや無視できない明白な脅威へと変貌させます。Net-NTLMv1の核心的な弱点は、既知のプレーンテキスト攻撃メカニズムに依存している点です。攻撃者がExtended Session Securityが無効なNet-NTLMv1ハッシュを、Responder、PetitPotam、DFSCOerceといったクレデンシャル強制ツールを介して取得した場合、基盤となるキーマテリアル(パスワードハッシュ)の回復が保証される暗号攻撃を仕掛けることが可能です。

複雑な攻撃チェーンと容易なシステム侵害

攻撃は、特権の高いシステムが標的となる場合に深刻度が増します。標準的な攻撃チェーンには、ドメインコントローラーを認証に強制し、そのマシンアカウントハッシュを回復することが含まれます。これにより、DCSync攻撃を実行してActive Directory環境内のすべてのアカウントを侵害することが可能になります。

この攻撃は、洗練されたゼロデイエクスプロイトや複雑な多段階ペイロードを必要とせず、組織全体の完全な侵害経路となり得ます。この脆弱性自体は新しいものではなく、プロトコルの暗号解析は1999年にまで遡り、2012年のDEFCONでの発表以降、Net-NTLMv1の非安全性が広く認識されていました。

レインボーテーブルの歴史とMandiantの貢献

レインボーテーブルの手法は、1980年代のタイムメモリトレードオフの概念に基づいて、2003年にPhilippe Oechslinによって発表されました。Hashcatは2016年8月にDESキー解読のサポートを追加し、悪用の障壁をさらに下げました。

Mandiantの貢献は、新しい攻撃を発明したことではなく、多大なストレージと処理リソースを消費する計算インフラと事前計算済みテーブルを提供し、攻撃をごく簡単に実行できるようにした点にあります。

レインボーテーブルの入手と容易な悪用

これらのレインボーテーブルは、Google CloudのResearch Datasetポータルで公開されており、gsutilコマンドを使用してダウンロードできます。検証のためのSHA-512チェックサムも提供されています。パスワードクラッキングコミュニティは既に、最適化された派生バージョンや代替ホスティングを作成しており、その広範な入手可能性を保証しています。

セキュリティ研究者は、これらのテーブルをRainbowCrack-NGやGPUアクセラレーション実装を含む複数のツールと統合でき、ほとんどのセキュリティ運用チームにとっての統合を容易にしています。

推奨される対策と継続的な監視の重要性

組織は直ちにNet-NTLMv1認証を無効にし、ローカルコンピューターポリシーとグループポリシーを設定してNTLMv2を強制する必要があります。しかし、この対策だけでは十分ではありません。攻撃者がローカル管理者権限を取得した場合、セキュリティポリシーを変更する可能性があるため、追加の保護レイヤーが必要です。

具体的には、Net-NTLMv1の使用を示すイベントID 4624の認証イベントを継続的に監視することが不可欠です。このポリシー適用、継続的な監視、およびアクティブなアラートからなる多層防御アプローチは、NTLMv1を直接的な攻撃ベクトルから、検出可能な侵害の兆候へと変えることができます。

セキュリティコミュニティへの影響

今回のレインボーテーブルの公開は、セキュリティコミュニティが非推奨プロトコルを扱う方法における決定的な変化を示しており、組織に早急な対応を促すものです。

元記事: https://gbhackers.com/mandiant-rainbow-tables-that-crack-ntlmv1-admin-passwords/

投稿をさらに読み込む