Windows

攻撃者が Windows エクスプローラで悪意のあるファイルを表示するよう標的を騙すだけで、NTLM 認証情報を取得できる新たなゼロデイ脆弱性が発見された。

この脆弱性は、Windowsの製造終了バージョンを非公式にサポートするプラットフォームである0patchチームによって発見され、マイクロソフト社に報告された。しかし、公式な修正プログラムはまだリリースされていない。

0patchによると、現在のところCVE IDがないこの問題は、Windows 7およびServer 2008 R2から最新のWindows 11 24H2およびServer 2022までのすべてのWindowsバージョンに影響を与えるという。

クリックレスのエクスプロイト

0patchは、マイクロソフトが公式な修正プログラムを提供するまで、ゼロデイ脆弱性の技術的な詳細を非公開としており、野放し状態での活発な悪用を防いでいる。

研究者は、この攻撃は、特別に細工された悪意のあるファイルをファイルエクスプローラで表示するだけで機能するため、ファイルを開く必要はないと説明しています。

「この脆弱性により、攻撃者は、ユーザがWindowsエクスプローラで悪意のあるファイルを閲覧するだけで、ユーザのNTLM認証情報を取得することができます。例えば、そのようなファイルがある共有フォルダやUSBディスクを開いたり、そのようなファイルが攻撃者のWebページから自動的にダウンロードされたダウンロードフォルダを閲覧したりすることで、そのようなファイルを閲覧することができます」と0patchは説明している。

0パッチは、この脆弱性の詳細については明らかにしていないが、リモート共有へのアウトバウンドNTLM接続が強制されることは理解している。これにより、WindowsはログインしているユーザーのNTLMハッシュを自動的に送信し、攻撃者はそれを盗むことができる。

繰り返し実証されているように、これらのハッシュはクラックされる可能性があり、脅威者はログイン名と平文のパスワードにアクセスすることができる。Microsoftは1年前、Windows 11でNTLM認証プロトコルを将来的に廃止する計画を発表した。

0patchは、これが最近マイクロソフトに報告したゼロデイ脆弱性のうち、ベンダーが早急な対応を取らなかった3つ目の脆弱性であると指摘している。

他の2つは、先月末に公表されたWindows Server 2012のMark of the Web(MotW)バイパスと、10月下旬に公表されたリモートでNTLM認証情報を盗まれるWindows Themesの脆弱性である。どちらの問題も未修正のままだ。

0patchによると、PetitPotamPrinterBug/SpoolSampleDFSCoerceなど、過去に公開された他のNTLMハッシュ開示の欠陥も、最新のWindowsバージョンではすべて公式な修正がないままであり、ユーザーには0patchが提供するマイクロパッチしか残されていないという。

無償マイクロパッチ提供

0patchは、Microsoftが公式な修正プログラムを提供するまで、同社のプラットフォームに登録されているすべてのユーザーに対して、最新のNTLMゼロデイに対応する無償のマイクロパッチを提供する。

PROおよびEnterpriseアカウントは、設定が明示的にこれを阻止しない限り、すでにセキュリティマイクロパッチを自動的に受け取っています。

この非公式パッチを受け取るには、0patch Centralで無料アカウントを作成し、無料トライアルを開始してからエージェントをインストールし、適切なマイクロパッチを自動的に適用させます。再起動は不要です。

0patchが提供する非公式パッチを適用したくないユーザーは、「セキュリティ設定 > ローカルポリシー > セキュリティオプション」のグループポリシーでNTLM認証をオフにし、「ネットワークセキュリティ:NTLM を制限する」ポリシーを設定する。レジストリを変更することでも、同様のことが可能です。

更新 12/7 – マイクロソフト社からのコメント要求に対して、以下のような回答がありました:

“我々はこの報告を調査しており、顧客が保護されるよう、必要に応じて対策を講じる予定である。”- マイクロソフトの広報担当者