Windows Credential Manager から一般権限で一部の認証情報を取得するスクリプト Invoke-WCMDump(Scan Tech Report) | ScanNetSecurity
2020.11.28(土)

Windows Credential Manager から一般権限で一部の認証情報を取得するスクリプト Invoke-WCMDump(Scan Tech Report)

Microsoft 社の OS である Windows の Windows Credential Manager から、一般権限で一部の認証情報を取得するスクリプトが公開されています。

脆弱性と脅威 エクスプロイト
◆概要

Microsoft 社の OS である Windows の Windows Credential Manager から、一般権限で一部の認証情報を取得するスクリプトが公開されています。当該スクリプトにより取得可能な認証情報は限られていますが、攻撃者が Windows 端末への侵入に成功し当該スクリプトを実行した場合、認証情報を取得され、権限の昇格や侵入範囲の拡大に悪用されてしまう可能性があります。

◆分析者コメント

一般権限で認証情報を取得するツールとしては Invoke-Mimikittenz が 2016 年に公開されていますが、Invoke-Mimikittenz が稼働中のプロセスから認証情報を取得するのに対して、今回公開されたスクリプトはメモリから取得するものです。類似した動作をするツールが過去に EXE 形式で公開されていますが、PowerShell のスクリプト化によりファイルを直接アップロードせずに攻撃することが可能となるため、攻撃の検知が難しくなります。対策することが難しい手法であるため、手法として認知することを推奨します。

◆影響を受けるソフトウェア

影響範囲は公表されていませんが、Windows 7 以後の Microsoft Windows で当該スクリプトが動作することを検証により確認しています。

◆解説

管理者権限を必要とせずに Microsoft Windows OS に実装されている Windows Credential Manager から認証情報を取得する、PowerShell のスクリプトが公開されています。

《株式会社ラック デジタルペンテストサービス部》

関連記事

PageTop

特集

アクセスランキング

  1. 三菱電機契約のクラウドサービスに不正アクセス、取引先情報流出

    三菱電機契約のクラウドサービスに不正アクセス、取引先情報流出

  2. 「これまでPPAP推奨したことはない」旨をプライバシーマークのJIPDECが明言

    「これまでPPAP推奨したことはない」旨をプライバシーマークのJIPDECが明言

  3. 最もよく使われているパスワード、「ポケモン」「NARUTO」「遊戯王」ランクイン

    最もよく使われているパスワード、「ポケモン」「NARUTO」「遊戯王」ランクイン

  4. 「Peatix」に不正アクセス、最大677万件のユーザー情報流出

    「Peatix」に不正アクセス、最大677万件のユーザー情報流出

  5. カプコンへのランサムウェア攻撃で最大35万件の情報流出、「Ragnar Locker」から身代金要求

    カプコンへのランサムウェア攻撃で最大35万件の情報流出、「Ragnar Locker」から身代金要求

  6. 「Disney+」「GitHub」「Imperva」「Tesla」「Zoom」他 9つのセキュリティ侵害分析レポート

    「Disney+」「GitHub」「Imperva」「Tesla」「Zoom」他 9つのセキュリティ侵害分析レポート

  7. サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

    サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

  8. 「ふくいナビ」クラウドの全データ消失、NECキャピタルソリューション社内手続ミスが原因

    「ふくいナビ」クラウドの全データ消失、NECキャピタルソリューション社内手続ミスが原因

  9. 保険代理店業務受託会社の顧客管理システムへ不正アクセス

    保険代理店業務受託会社の顧客管理システムへ不正アクセス

  10. 昇給見送りの腹いせ、システム改ざんしたブリティッシュ・ビジネス・バンクの IT ワーカー 裁判の行方

    昇給見送りの腹いせ、システム改ざんしたブリティッシュ・ビジネス・バンクの IT ワーカー 裁判の行方

ランキングをもっと見る