Critical Microsoft Access Vulnerability Exploited for NTLM Token Theft
2023/11/10 SecurityOnline — Check Point Research が発表したのは、Microsoft Access の “リモートSQL Serverテーブルへのリンク” 機能を悪用するポート 80 などの TCP 通信を介して、Windows ユーザーの NTLM トークンを攻撃者のサーバに自動的に流出させる脆弱性を発見である。
1993 年に Microsoft により導入された認証プロトコル NTLM だが、その旧式のデザインと脆弱性が問題だと長い間にわたって認識されてきた。NTLM に対する攻撃としては、ブルートフォース攻撃/パス・ザ・ハッシュ攻撃/NTLM リレー攻撃などの、さまざまなあ形態があると知られている。これらの攻撃を防ぐには、NTLM が使用するポート 139 とポート 445 を経由する送出トラフィックをブロックすることだ。それにより、一連の攻撃パターンを有効に低減させられる。
しかし、Microsoft Access の新たな脆弱性は、このようなセキュリティ対策を回避してしまう。Access Linked Tables 機能を悪用することで、攻撃者はポート 80 をリッスンしているサーバをセットアップし、被害者をおびき寄せ、特別に細工されたデータベース・ファイルを開かせるように仕向けられる。
被害者がファイルを開き、リンクされたテーブルをクリックすると、直ちに認証プロセスが開始され、その間に NTLM トークンが盗まれる。NTLM トークンには、有効な認証情報 (通常はユーザ名+パスワード)を入力したことを、ユーザーが確認するための情報が含まれているため、パスワード自体をネットワーク経由で送信する必要はない。
この攻撃から身を守るには、信頼できない送信元からの添付ファイルを開かないように注意し、Microsoft Access のマクロの無効化および、プログラムの完全な削除を検討することが推奨される。
Check Point Research は、2023年初頭から MSRC と協力して、この脆弱性に対処してきた。2023年7月に、Microsoft が最新バージョンの Office 2021 (Current Channel 2306/build 16529.20182) で、この脆弱性に対処したことが確認されている。それにより、PoC エクスプロイトを使用しようとすると警告メッセージが表示され、潜在的な危険性がユーザーに通知されるようになった。
Microsoft Access の新たな脆弱性と、文中には記されていますが、その CVE は明示されていません。そこで、この記事のベースになっている Check Point アドバイザリ内を検索してみましたが、見つかったのは Outlook の脆弱性 CVE-2023-23397 のみでした。よろしければ、NTLM で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.