Microsoft Windows における NTLM ゼロデイ脆弱性が FIX:ドメインを乗っ取りの可能性

Microsoft fixes new NTLM relay zero-day in all Windows versions

2022/05/10 BleepingComputer — Microsoft は、未認証の攻撃者がリモートから悪用し、Windows NT LAN Manager (NTLM) セキュリティ・プロトコルを介して、ドメイン・コントローラに強制的に認証させるという、Windows LSA スプーフィングのゼロデイ脆弱性に積極的に対処している。この LSA (Local Security Authority) とは、ローカル・セキュリティ・ポリシーを実施し、ローカル/リモートでのサインイン時にユーザーを認証する、保護された Windows サブシステムのことである。

この脆弱性 CVE-2022-26925 は、Bertelsmann Printing Group の Raphael John により報告されたが、実際に悪用されており、PetitPotam NTLM リレー攻撃の新しいベクターになるようだ。

2021年7月にセキュリティ研究者である GILLES Lionel が発見した、PetitPotam にはいくつかのバリエーションがあるため、それらを Microsoft はブロックしてきた。しかし、現時点では、公式の緩和策やセキュリティ・アップデートでは、すべての PetitPotam ベクターを完全にはブロックできていない。

LockFile ランサムウェアの運営者は、PetitPotam の NTLM リレー攻撃手法を悪用し、Windows ドメインを乗っ取り、また、悪質なペイロードを展開している。そのため、Microsoft は Windows 管理者に対して、CVE-2022-26925 攻撃からシステムを保護するための詳細情報として、PetitPotam の緩和策と、Active Directory Certificate Services (AD CS) の NTLMリレー攻撃に対する緩和策を、確認するよう助言している。

強制認証による特権昇格

この新しい攻撃ベクター使用すると、脅威者が正規の認証要求を傍受して特権昇格し、そのドメインを完全に侵害する可能性が生じる。ただし、このセキュリティ上の欠陥を攻撃者が悪用できるのは、被害者とドメイン・コントローラー間のトラフィックを傍受し、ネットワーク通信を読取/変更できる、複雑な中間者 (MITM) 攻撃においてのみとなる。

今日の Microsoft アドバイザリは、「認証されていない攻撃者は、LSARPC インターフェイスのメソッドを呼び出し、NTLM を解することで、ドメイン・コントローラーに 攻撃者を認証させることが可能だ。このセキュリティ更新プログラムは、LSARPC における匿名接続の試行を検出し、それを無効にする。この脆弱性は、すべてのサーバーに影響を及ぼすため、セキュリティ更新プログラムではドメイン・コントローラーを優先する必要がある」と説明している。

なお、これらの更新プログラムをインストールすると、Windows 7 Service Pack 1 および Windows Server 2008 R2 Service Pack 1 を実行しているシステムでは、一部のベンダーが提供しているバックアップ・ソフトウェアが壊れるというデメリットが生じるようだ。

繰り返しになるが、脆弱性 CVE-2022-26925 は、Windows 7/Windows Server 2008 から Windows 11/Windows 2022 にいたるまでの、すべてのクライアント/サーバーを含む Windows バージョンに影響を及ぼす。

Microsoft は、このゼロデイ脆弱性と、Windows Hyper-V におけるサービス拒否の脆弱性に CVE-2022-22713 と、Magnitude Simba Amazon Redshift ODBC Driverの脆弱性に CVE-2022-29972 に対して、May 2022 Patch Tuesday の一部としてパッチ適用している。

この記事は 5月10日の火曜日に、つまり、May 2022 Patch Tuesday の日にポストされており、PetitPotam NTLM リレー攻撃の新しいベクターである、脆弱性 CVE-2022-26925 が FIX したとされています。しかし、その後の CISA warns not to install May Windows updates on domain controllers に記されるように、このパッチをWindows Server ドメイン・コントローラに導入すると、サービス認証に問題が生じるようであり、CISA としても、一度は悪用脆弱性リスト (KEV) に載せた CVE-2022-26925 を削除しているようです。その点に、ご注意ください。この CISA の対応についても、翻訳が上がり次第、掲載します。

%d bloggers like this: