New Outlook Exploit Unveiled: CVE-2023-35636 Leads to NTLM v2 Password Breach
2024/01/18 SecurityOnline — NTLM v2 のハッシュ化されたパスワードにアクセスするために、サイバー攻撃者たちが悪用できる3つの新しい手口を、先日に Varonis Threat Labs が発表した。そこで悪用される脆弱性の中で、特に重要なのは CVE-2023-35636 であり、機密情報の暴露のために Outlook の悪用を可能にするものだ。
CVE-2023-35636 と NTLM v2 の理解
Microsoft Outlook カレンダーの共有機能に存在するのは、脆弱性 CVE-2023-35636 である。この脆弱性の悪用に成功した攻撃者は、Microsoft Windows システムの認証に使用される NTLM v2 ハッシュの傍受が可能になる。NTLM v2 は、以前のものより安全であるが、オフラインでのブルートフォース攻撃や認証リレー攻撃の影響を受けやすい。
攻撃者による NTLM v2 ハッシュの悪用方法
攻撃者が NTLM v2 ハッシュを悪用する際の2つの攻撃シナリオ:
- オフライン・ブルートフォース攻撃:このタイプの攻撃では、攻撃者は NTLM v2 ハッシュへのアクセスが可能であり、一致するまで様々な組み合わせを試すことで、ユーザー・パスワードのクラックを試みる。この攻撃は、ネットワークに痕跡を残さないため、現実的に検知が不可能である。
- 認証リレー攻撃: 認証リレー攻撃では、攻撃者は NTLM v2 認証リクエストを傍受し、それを別のサーバにリレーする。
Outlook 悪用の仕組み
Outlook エクスプロイトでは、電子メールに特定のヘッダーを追加し、コンテンツの共有と指定されたマシンへの連絡を、Outlook に指示する。この操作により、攻撃者は認証プロセス中に、NTLM v2 ハッシュを傍受する機会を作り出す。この悪用には2つのヘッダである、”Content-Class” と “x-sharing-config-url” が必要であり、それにより攻撃者のマシンを指し示す。
他の攻撃ベクター:WPA と Windows File Explorer
Outlook 以外にも、攻撃者は Windows Performance Analyzer (WPA) と Windows File Explorer を悪用することで、NTLM v2 ハッシュにアクセスすることが可能である。URI ハンドラや特定のパラメータを悪用することで、これらのアプリケーションが攻撃者に騙され、機密情報の漏洩を引き起こしてしまう。
NTLM v2 攻撃に対する防御
Microsoft は Outlook の 脆弱性 CVE-2023-35636 に対して、2023年12月12日にリリースされたパッチで対処し、”Important” に分類している。しかし、WPA とWindows File Explorer に関連する脆弱性は、”Medium” と分類されている。
NTLM v2 による攻撃から、システムとデータを保護するために推奨されるのは、以下のセキュリティ対策の実施である:
- SMB 署名: SMB トラフィックの改ざんや、中間者攻撃への対策として、SMB 署名を有効化する。この機能により、すべての SMB メッセージにデジタル署名が付与され、改ざんされたメッセージを検出/拒否できる。
- 送信 NTLM v2 のブロック: Windows 11 (Build 25951) 以降においては、発信する NTLM 認証のブロックが可能となり、セキュリティ・レイヤーを追加できる。
- Kerberos 認証の強制: 可能な限り Kerberos 認証を強制し、ネットワークとアプリケーションの両レベルで NTLM v2 をブロックする。それにより、NTLM v2 が不要な場所で使用されることを防止できる。
これらの予防策を講じることで、NTLM v2 攻撃による被害のリスクを大幅に低減し、システムとデータの安全を確保できる。
この Outlook の脆弱性 CVE-2023-35636 ですが、お隣のキュレーション・チームに聞いてみたら、2023年12月の月例でアップデートされたものであり、CVSS 値は 6.5 とのことです。また、NTLM リレー攻撃については、昨年から複数の記事がポストされています。よろしければ、NTLM で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.