ブラックハット・ヨーロッパのシノプシスのセキュリティ専門家イアン・ハーケン氏は、企業内のパッチ未適用のPCはユーザーアカウントが乗っ取られたり、Bitlockerがバイパスされたりする危険があるが、実行するのは「簡単」な攻撃だと述べている。
最新の Redmond パッチ (MS15-122) で封印された攻撃ベクトルは、ネットワーク ドメインの一部である Windows マシン、特に企業のフリート内のマシンに影響を及ぼします。
ユーザーがプリブートパスワードを入力することを強いられるサディスティックなシステム管理者だけが、この攻撃を免れることができる、とハケン氏は言う。
ヘイケン氏によると、紛失または盗難にあったラップトップにアクセスできる攻撃者は、関連するネットワークドメインを偽装し、被害者のコンピュータのユーザー名と一致する偽のユーザーアカウントを設定できるという。
偽アカウントの作成日は過去の日付に設定する必要があります。パスワードの設定は問いません。
被害者のマシンが偽装されたドメインに接続すると、Windows はパスワード リセット プロンプトを表示し、コンピューターのローカル キャッシュ内の資格情報を変更します。
写真: イアン・ハーケン。
その後、ラップトップは偽装されたドメインから切断され、変更された資格情報を使用してアクセスされる可能性があります。
ハーケン氏は、BlackHat Europeで発表した論文「ローカルWindows認証をバイパスしてフルディスク攻撃を阻止する」[pdf]の中で、この攻撃はレドモンドのTrusted Platform Moduleでは阻止できないと述べています。以下は彼の考えの一例です。
... ドメイン コントローラーはリモートにあり、攻撃者はマシンを物理的に制御できるため、ネットワーク通信も制御し、攻撃者が制御する模擬ドメイン コントローラーに通信を送信できます。パスワードなしの BitLocker を搭載したマシンは、透過的に復号化キーを取得し、Windows ログイン画面を起動するため、Windows 認証が BitLocker を破るための攻撃対象領域になります。
Microsoftのパッチを適用しなければ、簡単に解決することはできません。パッチを適用しない、または適用できない管理者は、ローカル認証情報のキャッシュを無効にすることができますが、その場合、ユーザーはオフラインでログインできなくなります。®
