Windows Credential Manager から一般権限で一部の認証情報を取得するスクリプト Invoke-WCMDump(Scan Tech Report) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.08.26(月)

Windows Credential Manager から一般権限で一部の認証情報を取得するスクリプト Invoke-WCMDump(Scan Tech Report)

Microsoft 社の OS である Windows の Windows Credential Manager から、一般権限で一部の認証情報を取得するスクリプトが公開されています。

脆弱性と脅威 エクスプロイト
◆概要

Microsoft 社の OS である Windows の Windows Credential Manager から、一般権限で一部の認証情報を取得するスクリプトが公開されています。当該スクリプトにより取得可能な認証情報は限られていますが、攻撃者が Windows 端末への侵入に成功し当該スクリプトを実行した場合、認証情報を取得され、権限の昇格や侵入範囲の拡大に悪用されてしまう可能性があります。

◆分析者コメント

一般権限で認証情報を取得するツールとしては Invoke-Mimikittenz が 2016 年に公開されていますが、Invoke-Mimikittenz が稼働中のプロセスから認証情報を取得するのに対して、今回公開されたスクリプトはメモリから取得するものです。類似した動作をするツールが過去に EXE 形式で公開されていますが、PowerShell のスクリプト化によりファイルを直接アップロードせずに攻撃することが可能となるため、攻撃の検知が難しくなります。対策することが難しい手法であるため、手法として認知することを推奨します。

◆影響を受けるソフトウェア

影響範囲は公表されていませんが、Windows 7 以後の Microsoft Windows で当該スクリプトが動作することを検証により確認しています。

◆解説

管理者権限を必要とせずに Microsoft Windows OS に実装されている Windows Credential Manager から認証情報を取得する、PowerShell のスクリプトが公開されています。

《株式会社ラック サイバー・グリッド研究所》

関連記事

PageTop

特集

アクセスランキング

  1. 米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

    米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

  2. 「Webmin」の脆弱性を標的としたアクセスが増加(警察庁)

    「Webmin」の脆弱性を標的としたアクセスが増加(警察庁)

  3. DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ)

    DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ)

  4. 権威DNSサーバ「NSD」にゾーンパーサがクラッシュする脆弱性(JPRS)

    権威DNSサーバ「NSD」にゾーンパーサがクラッシュする脆弱性(JPRS)

  5. 会員向けスマホアプリにパスワード型リスト攻撃、16,756件が閲覧された可能性(三井住友カード)

    会員向けスマホアプリにパスワード型リスト攻撃、16,756件が閲覧された可能性(三井住友カード)

  6. 近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

    近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

  7. 帰宅途中で会議書類一時紛失、対策として書類のペーパーレス化徹底も(大阪市)

    帰宅途中で会議書類一時紛失、対策として書類のペーパーレス化徹底も(大阪市)

  8. 新潟へぎそば通販サイトへ不正アクセス、2015年12月以降のカード決済情報流出(小嶋屋総本店)

    新潟へぎそば通販サイトへ不正アクセス、2015年12月以降のカード決済情報流出(小嶋屋総本店)

  9. 3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

    3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

  10. 「セキュリティ要素が低い」とアカウント審査に誘導するAmazon偽メール(フィッシング対策協議会)

    「セキュリティ要素が低い」とアカウント審査に誘導するAmazon偽メール(フィッシング対策協議会)

ランキングをもっと見る