Microsoft Themes の脆弱性 CVE-2024-21320:技術的詳細と PoC が公開された

CVE-2024-21320 PoC Published- How Microsoft Themes Can Compromise Your Credentials

2024/03/06 SecurityOnline — Microsoft Themes の脆弱性 CVE-2024-21320 (CVSS:6.5) の、技術的詳細および PoC (Proof-of-Concept) が、Akamai のセキュリティ研究者である Tomer Peled により公開された。この脆弱性の悪用に成功した攻撃者は、機密性の高いユーザー認証情報を盗み出し、重大なセキュリティ・リスクをもたらす可能性を持つ。

攻撃の詳細

この脆弱性は、Microsoft Themes における特定のファイル・パラメータの、処理方法に起因する。そして、攻撃者が悪意のネットワーク活動を引き起こすために、テーマ・ファイル内の BrandImage/Wallpaper/VisualStyle パラメータが悪用されてしまう。

ユーザーが、侵害されたテーマ・ファイルを閲覧すると、Windows は自動的にサムネイル・プレビューを生成しようとする。この挙動は、ファイルを直接開かなくても実行される。このプロセスにおいて、前述のパラメータが、攻撃者の制御下にあるリモートの UNC パスを指すよう改ざんされていると、被害者のマシンは無意識のうちに SMB 接続を介して NTLM 認証情報を送信してしまう。

Akamai は、脆弱性 CVE-2024-21320 の理解と再現に役立つ、PoC (Proof-of-Concept) のテーマ・ファイルとビデオを提供している。

現実世界のリスク:NTLM クレデンシャルの威力

ユーザーの NTLM クレデンシャルを取得することは、攻撃者にとって魅力的なツールキットの入手となる:

  • NTLM リレー攻撃:盗み出した NTLM ハッシュをリレーすることで、攻撃者は被害者の ID をネットワーク上で模倣できる。それにより、攻撃者は機密性の高いシステムやリソースに不正にアクセスできるようになる。
  • オフライン・パスワード・クラッキング:攻撃者はパスワード・クラッキング・ツールを使用し、また、NTLM ハッシュを起点として、被害者の実際のパスワードをブルートフォースしようと試みる。
歴史的な前例と緩和策

この Microsoft Themes の脆弱性は、過去に表面化した同様の悪用と類似しており、憂慮すべきものと捉えるべきだ。2023年に発見された Outlook の脆弱性が、NTLM 認証を標的にしたときに、これらの攻撃ベクターが有効であることが証明されている。

この脆弱性の発見を受けた Microsoft は、January 2024 Patch Tuesday の一環でパッチをリリースした。このアップデートでは、パスが UNC パスであるかどうか、および、システム・ポリシーがテーマ・ファイルへの UNC パスの使用を許可しているかどうかを、検証するチェックが導入された。

それに加えて、新しいレジストリ値である “DisableThumbnailOnNetworkFolder“ が導入され、さらにリスクが軽減された。しかし Akamai の調査により、特別に細工されたファイルを閲覧しただけで、脆弱性が発生することが判明した。Microsoft の主張とは異なるが、この実装には注意が必要だ。

組織が考慮すべき予防策は、他にもある:
  • NTLM ポリシー・コントロール:Windows 11 ユーザーは、グループ・ポリシーの調整により、外部エンティティとの SMB トランザクションにおける NTLM 認証をブロックできる。こうすることで、防御を強化できる。Microsoft の “Restrict NTLM” ポリシーは、このような攻撃ベクターの有効性を妨げる、もう一つの保護レイヤーを提供する。
  • ネットワークのセグメンテーション:ネットワークをマイクロ・セグメンテーションし、トラフィックの流れを制御して明確に定義されたゾーンを作る。これにより、ネットワーク内での横方向の移動を防止し、NTLM 侵害による潜在的な損害を抑制できる。
  • エンドユーザー教育:テーマなどの一般的でないファイル形式を含め、信頼できないソースからの不審なファイルに注意するようにユーザーを教育し、注意喚起を促す。

デスクトップのカスタマイズに用いる、Microsoft Themes に脆弱性が存在し、Akamai から PoC エクスプロイトが提供されました。しかも、ユーザーの NTLM クレデンシャルが不正に取得されてしまう恐れがあるとのことです。よろしければ、NTLM で検索も、ご利用ください。