TACERT台灣學術網路危機處理中心

※安全通報資訊

安全通報類型	微軟安全通報
發佈日期	2016-01-21
標題	【攻擊預警】駭客利用Pass-the-Ticket手法進行內部擴散攻擊，請加強網域伺服器安全防護
CVE
BID
影響平台	Windows作業系統
說明	轉發國家資通安全會報技術服務中心漏洞/資安訊息警訊 ICST-ANA-2016-0010 近期發現駭客在入侵機關網域伺服器(DC，Domain Controller)，取得系統內處理使用者身分認證之預設帳號krbtgt所對應的密碼雜湊值後，即可任意登入網域內的所有主機，在機關內部進行擴散攻擊。依實際案例與相關研究資料顯示，駭客首要條件需成功入侵DC，取得主機管理者權限後才能從中擷取預設帳號krbtgt的密碼雜湊值，進而施行後續Pass-the-Ticket手法，達到內部擴散的目的。請各級政府機關加強DC防護並留意DC內具管理者權限帳號之登入使用狀況，避免密碼遭竊取後所帶來的攻擊。
解決方式	1.確認DC主機之安全性 a.確認DC主機內具管理者權限帳號的登入來源與使用狀況是否存在異常 b.檢測DC狀況，確認是否存在惡意程式或其他入侵跡象 2.若DC遭入侵，則建議應採取以下應變措施 a.參考微軟提供之DC建置安全作業要點進行DC重建作業，網址如下:https://technet.microsoft.com/en-us/library/dn487446.aspx b.重新設定DC內預設帳號krbtgt密碼兩次，重設後應重開機以確保設定啟用；依微軟建議，兩次設定間隔應在10至12小時，可參考以下兩種密碼更改方式 (1).手動更改krbtgt密碼，步驟可參考104年第2次政府資通安全防護巡迴研討會議題二-近期駭客攻擊案例分享簡報p.43~p.44，網址如下： http://www.nccst.nat.gov.tw/HandoutDetail?lang=zh&seq=1251 (2).可利用微軟提供之powershell工具重新設定krbtgt密碼，網址如下： https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51#content 3.重新檢視DC管理維運方式 a.以本機登入操作為主，避免遠端登入進行管理 b.限縮DC內具管理者權限帳號之使用 c.定期檢視系統內管理者權限帳號之登入與使用狀況 4.此則警訊僅作通知，無需進行通報作業。如機關發現遭駭情事，請依內部資安事故處理程序處理，並至通報應變網站執行通報作業。
相關資訊連結	http://www.nccst.nat.gov.tw/HandoutDetail?lang=zh&seq=1251
相關修正資訊連結	https://technet.microsoft.com/en-us/library/dn487446.aspx