ゼファーネットのロゴ

ハッカーがMFAを回避できる5つの方法

日付:


機密システムは安全だと思いますか? もう一度考えてみて。

Silverfortの市場戦略担当副社長、Dana Tamir氏

まず、すべてでMFA(Multi-Factor Authentication)を使用する必要があります。 ユーザーのIDを検証するにはパスワードだけでは不十分であり、MFAはIDベースの攻撃のリスクを最小限に抑える最善の方法であることが証明されています。 MFAを使用して、最も機密性が高く最も重要なエンタープライズシステムへのすべてのアクセスを保護する必要があります。オプションがある場合は、それを実装してください。

ただし、すべてのMFAソリューションが同等に作成されたわけではありません。

当初、MFAソリューションはVPN用に設計され、特定のシステムをサポートするように拡張されました。 それらは一度にXNUMXつのシステムを実装するように設計されています。 今日の動的で複雑なネットワークでは、機密性の高い重要な資産へのユーザーによるアクセスを保護する必要があります。このアプローチはもはや実用的ではありません。 実装の課題により、保護されていない機密システムが多すぎます。 侵害を可能にするためには、単一の保護されていないシステムが必要です。 攻撃者がシステムを危険にさらし、ネットワークの足がかりを得たら、標的システムに到達するまで、攻撃者が特権を昇格させ、ネットワーク全体に伝播するために使用できる多くの手法があります。

ただし、MFAを実装した場合でも、システムが公開されたままになる可能性があります。 たとえば、MS WindowsのMFAソリューションのほとんどを取り上げます。 これらは通常、ローカルコンソールログオンとRDPアクセスのみを保護します。 PowerShellの「Enter-PsSession」や「Invoke-Command」などのコマンドラインツール、または非対話型ログオン(つまり、サービスとしてログオン、バッチとしてログオン、スケジュールされたタスク、ドライブマッピング)にアクセスする場合、セカンダリ認証プロンプトを追加できませんなど)。

ハッカーは通常、ローカルコンソールログオンを使用せず、RDPアクセスを利用する必要はありません。 上記の管理インターフェースは、利用がはるかに簡単です。 実際、これらの正確なツールがMFAソリューションによって「保護された」組織やアクセスシステムを侵害するために使用された事例を文書化しました。

ハッカーがMFAソリューションを迂回して、最も機密性が高く、最も価値があり、最も重要なシステムにアクセスできるXNUMXつの方法を次に示します。

  1. リモートPowerShell: Windows PowerShellリモーティングを使用すると、XNUMX台以上のリモートコンピューターで任意のWindowsPowerShellコマンドを実行できます。 PowerShell Remotingを使用すると、永続的な接続を確立したり、対話型セッションを開始したり、リモートWindowsシステムで完全なPowerShellセッションにアクセスしたりできます。 ターゲットマシンでPowerShellリモート処理が有効になっている場合は、Invoke-CommandコマンドレットとEnter-PSsessionコマンドレットを使用して、ターゲットマシンで対話型セッションを実行できます。 セッション中、入力したコマンドは、リモートコンピューターで直接入力した場合と同じように、リモートコンピューターで実行されます。
  2. PSExec: これは、ターゲットマシンにソフトウェアを手動でインストールしなくても、コンソールアプリケーションの完全な対話機能を備えた他のシステムでプロセスを実行できる、軽量のtelnetの代替品です。 PsExecの最も強力な使用法には、リモートシステムでの対話型コマンドプロンプトの起動と、リモートシステムに関する情報を表示する機能がないリモート有効化が含まれます。 たとえば、ターゲットマシンで「Mimikatzを呼び出す」などの資格情報を盗むツールを実行するために使用できます。
  3. リモートレジストリエディター: 名前が示すように、これはリモート管理者(またはハッカー)がデスクトップまたはサーバーシステムに接続し、Windowsレジストリを表示/変更できるようにするサービスです。 レジストリは、Windowsオペレーティングシステム内にあるデータベースであり、ソフトウェアアプリケーション、ユーザー設定などのすべての構成設定を保存します。 リモートレジストリエディターサービスを使用すると、新しいキーの追加、既存のキーの削除、キーの編集、検索、およびキーのインポートまたはエクスポートを行うことができます。 このサービスはセキュリティリスクをもたらす可能性があるため、リモート管理の目的で必要ない場合は、アクセスを制限するか、機能を無効にすることを強くお勧めします。
  4. リモートローカルコンピューター管理: これは、管理者(およびハッカー)がリモートPCに接続し、ユーザーアカウント、サービス、デバイスマネージャーなどのローカルリソースを管理できるようにするツールのコレクションです。 Windowsローカルインストールに組み込まれているこのツールセットを使用すると、ほとんどすべてのWindowsローカルリソースにリモートでアクセスして管理できます。 これは非常に便利で、リモートサポートを行うときに時間を大幅に節約できます。 また、MFAは2番目の認証を要求するプロンプトが出されないため、管理したいリモートマシン上で管理者権限を持つ資格情報を持つ攻撃者にも便利です。
  5. ロック画面のバイパスの脆弱性の悪用(CVE-2019-9510)):2019年に公開されたこのMicrosoft Windowsリモートデスクトッププロトコル(RDP)の脆弱性は、クライアント側の攻撃者がリモートデスクトップ(RD)セッションのロック画面をバイパスするために悪用する可能性があります。 この脆弱性は、Microsoft Windowsリモートデスクトップ機能がクライアントにネットワークレベル認証(NLA)での認証を要求する方法に存在します。 ネットワーク異常が発生すると、一時的なRDP切断がトリガーされる可能性がありますが、自動再接続時に、RDPセッションはロック解除された状態に復元されます。 RDPセッションは、切断前のリモートシステムのステータスを考慮せずに復元されます。 攻撃者はRDPクライアントシステムのネットワーク接続を妨害できます。これにより、資格情報を提供せずにリモートシステムとのセッションがロック解除されます。 見る このブログ

すべてのインターフェースにわたる安全なアクセス

すべてのシステムインターフェースにわたって安全なアクセスを確保するには、特定のシステムの認証プロセスに焦点を当てたMFAソリューションではなく、認証プロトコル(Kerberos、NTLM、SAML、OpenID Connectなど)に焦点を当てたMFAソリューションを探す必要があります。

これを可能にするXNUMXつのソリューションは Silverfortの認証プラットフォーム。 システムごとに実装され、ソフトウェアエージェントまたは保護されたシステムの認証プロセスとの何らかの統合が必要なほとんどの認証ソリューションとは異なり、Silverfortは、セキュリティで保護された認証に向けて全体的なプロトコルベースのアプローチを適用します。 Silverfortは、すべての企業ネットワークとクラウド環境、およびすべての認証プロトコルにわたって、統一されたプラットフォームで、すべてのユーザーとサービスアカウントのすべてのアクセス要求を監視します。 これらのアクセス要求を分析してリスクと信頼レベルを継続的に評価し、適応ポリシーを適用して、検証された信頼できるユーザーのみにアクセスが許可されるようにします。

ソリューションの全体的なアーキテクチャと、エージェント、プロキシ、またはコードの変更が不要なため、Silverfortでは、システムとそのシステムへのインターフェイスを保護できます。 これには、レガシーシステムや自社開発システム、重要なITインフラストラクチャ、ファイル共有、データベースなど、今日まで保護できなかったシステムが含まれます。 また、特権アクセスや、リモートPowerShell、PSEcexなどの管理ツールの使用を含む、システムへのすべてのインターフェースを保護します。

この革新的なアーキテクチャは、システムごとに展開する必要がなくなるため、実装が簡単になるだけでなく、今日の動的で複雑な環境では実用的ではないアプローチであるだけでなく、システムを完全にカバーする優れたセキュリティも実現します。

この訪問についての詳細を読む www.シルバーフォート.com

著者について

DanaはSilverfortのVP Market Strategyです。これは、オンプレミスかクラウドかを問わず、すべてのシステムインターフェイスで安全な認証とゼロトラストポリシーを可能にする最初のエージェントレスプロキシレス認証プラットフォームのプロバイダーです。 ダナはサイバーセキュリティ業界のベテランであり、15年以上の実務経験と主要なセキュリティ企業におけるリーダーシップの役割を持っています。 彼女は最近、25年のサイバーセキュリティのトップ2019の女性リーダーの2019人に選ばれました。シルバーフォート以前は、ダナはIndegyでマーケティング担当副社長を務めていました(2012年にTenableが買収)。 それ以前は、Trusteerでエンタープライズセキュリティのディレクターを務めていました(XNUMX年にIBMに買収されました)。 彼女はまた、Imperva、Symantec、Bindview、およびAmdocsでさまざまな役割を果たしました。 Danaは、Technion – Israel Institute of Technologyでエンジニアリングの学位を取得しており、さらに業界やベンダーの認定も多数取得しています。

出典:https://www.cyberdefensemagazine.com/5-ways-hackers-can-bypass-your-mfa/

スポット画像

最新のインテリジェンス

スポット画像