マイクロソフトのハッカー、イタイ・グレイディ氏は、ブラックハット・スカウトによるWindows認証情報の盗難を防ぐツールを作成した。同社はこの取り組みによって、ネットワークへの侵入がより困難になることを期待している。
SAMRi10 PowerShell スクリプト (発音は「サマリタン」) は、ハッカーが Windows ボックスの初期偵察で探し出す簡単なユーザー名情報を排除します。
この脆弱性は、ハッカーが収集できる情報量を制限すべく、Windows 10 および Windows Server 2016 上のリモート Windows セキュリティ アカウント マネージャー (SAM) アクセスのデフォルトの権限を変更します。
Grady (@ItaiGrady) 氏は、Windows 10 ツールは、攻撃的なハッキング キル チェーンの最初のステップのコストと複雑さを増大させるのに役立つと述べています。
「攻撃者が単一のエンドポイントに侵入したら、被害者の企業ネットワーク内で次の標的、特に特権ユーザーを見つける必要があります。
「ローカル認証情報、特にローカル管理者の認証情報は、パスワードの複雑さや変更ポリシーの管理が少なく、特定のコンピュータ以外にトラフィックやログがなく監視も少ないため、攻撃者にとって格好のターゲットとなります。
「攻撃者は、被害者のドメイン マシンに対して SAM-Remote プロトコルを介して Windows セキュリティ アカウント マネージャーをリモートで照会することで、グループ メンバーシップを持つすべてのドメイン ユーザーとローカル ユーザーを取得し、被害者のネットワーク内の可能なルートをマップできます。」
Veris Group の BloodHound などのフレームワークはネットワーク マッピングを自動化し、資格情報の漏洩によってリスクを高めます。
善良なサマリア人:管理者は大丈夫、認証されていないユーザーは拒否。画像:Microsoft。
SAMRi10 は、約 22 パーセントの市場シェアを持つ Microsoft のより強力な Windows 10 プラットフォーム以外のプラットフォームでは動作しないことが知られています。
研究者らはスクリプトの機能と使用法を詳細に説明しており、すべてのセキュリティ管理者にこれを確認するよう推奨しています。®
