Kerbrute - A tool to quickly bruteforce and enumerate valid Active Directory accounts through Kerberos Pre-Authentication

John the Ripper - A fast password cracker

hashcat - advanced password recovery tool

<p>Active Directory アカウントの脆弱性を高める可能性のある弱いパスワードがないか検証します。</p>


<p>Active Directory アカウントのパスワードに関して複数の問題が発生しており、Active Directory のセキュリティが低下する可能性があります。</p>


資格情報アクセス

初期アクセス

権限昇格

ブルートフォース

有効なアカウント

弱いパスワードの検出

特定のドメインコントローラーのパスワードがブランクになっています。これは、Zerologon の脆弱性が悪用されたことが原因かもしれません。
この脆弱性には、ドメインコントローラーのパスワードが変更されて、攻撃者がドメインを完全に侵害できるようになるという、悪用されうるシナリオが含まれています。


パスワードがブランクのドメインコントローラー

あるアカウントには、設定されたパスワードリストにあるか、sAMAccountName や displayName などのアカウント属性と同一である、弱いパスワードが設定されています。そのため、これらのパスワードは高速な総当たり攻撃の影響を非常に受けやすくなります。


弱いパスワードの使用

あるユーザーアカウントにブランクパスワードがあります (NT ハッシュ)。具体的なシナリオで言うと、ブランクパスワードのアカウントがあると、攻撃者はパスワードを入力しなくても認証できるため、セキュリティ上のリスクが生じます。
以下の条件下では、アカウントにブランクのパスワードが設定されている場合があります。
  * ドメインパスワードポリシーで、属性 minPasswordLength の値が 0 に、属性 complexityEnabled の値が False に設定されている。
  * userAccountControl 属性で、PASSWD_NOTREQD フラグが True に設定されている。


パスワードがブランクのユーザーアカウント (NT ハッシュ)

少なくとも 1 つの特権アカウントがパスワードを他のアカウントと共有しています。これは、攻撃者が低権限のアカウントを侵害することによって悪用する、直接的な特権昇格の手法になり得ます。
これは、ティア間で同じパスワードを再利用している、または弱いパスワードを使用しているなど、ティアアカウントの不適切な設定を示している可能性もあります。


特権アカウントによるドメイン内でのパスワード再利用

公開されている侵害されたパスワードデータベースにアカウントのパスワードがあったとしても、必ずしもアカウントが侵害されたというわけではありません。ただし、パスワード推測やオフラインクラッキング攻撃に対するアカウントの脆弱性が著しく高まります。このようなパスワードが公開されると、攻撃者がパスワードを悪用して他のアカウントに不正にアクセスする可能性があるため、そのようなパスワードを継続して使用することは不適切です。


漏洩したパスワードの使用

特定のアカウントの LM (Lan Manager) ハッシュの値がブランクではありません。LM ハッシュアルゴリズムは NT ハッシュアルゴリズムと比較して相対的に弱く、高速な総当たり攻撃を受けやすくなっていることに注意することが重要です。したがって、セキュリティを強化するには、LM ハッシュの保存を禁止し、代わりに NT ハッシュのみを優先的に保存するようにするのが最善です。


LM ハッシュを持つユーザーアカウント

複数のユーザーアカウントで同じパスワードを使用すると、セキュリティ上の重大なリスクが生じます。攻撃者がこれらのアカウントのいずれかの侵害に成功すると、パスワードスプレー攻撃によってこの脆弱性を悪用し、他のアカウントへの不正アクセスを取得する可能性があります。


ドメイン内でのパスワードの再利用

The 773 Million Record "Collection #1" Data Breach (7 億 7300 万件に及ぶ「Collection #1」データ漏洩)


The Default Password Threat (デフォルトパスワードの脅威)

How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases (Windows が Active Directory とローカル SAM データベースにパスワードの LAN マネージャーハッシュを保存しないようにする方法)

検出

弱いパスワードの検出

high

説明

ソリューション

参考資料

インジケーターの詳細

攻撃者の既知のツール