NTLM の脆弱性:Microsoft 環境に潜む深刻なセキュリティ・リスクとは? – Morphisec

Unpatched NTLM Flaws Leave Microsoft Systems Vulnerable

2024/11/26 SecurityOnline — Microsoft の NTLM プロトコルが、サイバー・セキュリティ上の深刻な懸念として再浮上していることを、Morphisec の Michael Gorelikが最新レポートで警告している。同レポートが指摘するのは、Microsoft 製品に存在するパッチ未適用の複数の脆弱性により、NTLM の漏洩が生じ、攻撃者による特権昇格が容易になるという点だ。これらの脆弱性への、Microsoft の対応が遅れているため、企業は自力で対処する他にないという状況にある。

NTLM は時代遅れと考えられているが、依然として数多くの環境で、認証のフォールバック機能として使用されている。Gorelik の説明は、「問題の本質は、特に不正な SMB サーバに接続する際のファイル・アクセス・リクエストが、NTLM フォールバックを起動させる方式にある。このフォールバック機能は、多くのケースにおいてユーザーによる操作を必要とせずに起動するため、予期せぬ認証情報の漏洩に、ユーザーが直面する可能性が生じる」というものだ。

漏洩した NTLM ハッシュを、Pass-the-Hash 攻撃で悪用する攻撃者は、平文のパスワードを必要とすることなく認証を突破していく。このレポートが指摘するのは、「漏洩した NTLM ハッシュが特権ユーザーのものであれば、攻撃者が可能にするアクションとして、DCSync 攻撃の実行/新しい Kerberos チケットの要求/ドメイン内の特権昇格などが挙げられる」という点だ。

Morphisec のレポートでは、人気の Microsoft 製品における、5つの主要な脆弱性が指摘されている。

  1. Microsoft Word:RTF ファイルを悪用する NTLM の漏洩
    悪意の OLE リンクを埋め込んだ、RTF ファイルを悪用する攻撃者は、NTLM ハッシュを取得できる。 外部リンクを有効化するように促すメッセージを、ユーザーが拒否した場合であっても、Word の QueryHotLinks 機能の欠陥により、この拒否が回避され、NTLM ハッシュが攻撃者のサーバに送信されてしまう。 この脆弱性の深刻度について、Microsoft は ”Moderate” と評価しており、当面はパッチを提供しないようだ。
  2. Microsoft Outlook:リモート画像タグによる NTLM の漏洩
    信頼された送信者からの画像を、Outlook は自動的に表示する。Gorelik の警告は、「Outlook が画像を取得する際に、NTLM 認証リクエストが自動的に攻撃者の SMB サーバへと送信され、NTLM ハッシュが漏洩する。したがって、信頼されるアカウントが侵害されると、そのリスクがさらに高まる」というものだ。
  3. Microsoft Access:リモート・テーブルのリフレッシュによる NTLM の漏洩
    Access ユーザーが、アクティブ・コンテンツを有効化する前に、リモート・テーブル接続を開始する AutoExec マクロを介して、NTLM 認証情報を漏洩させる可能性がある。それにより、初期の警告メッセージが無効化されると、Gorelik は指摘している。
  4. Windows Media Player – レガシー・プレイリスト・ファイルによる NTLM の漏洩
    メディア・ファイル (.wax/.wvx ) をダブル・クリックすると、攻撃者が管理する SMB サーバにプレイヤーが接続され、NTLM 認証情報の漏洩を引き起こす可能性が生じる。驚くべきことに、Microsoft は、この動作を “設計上の仕様” と見なしており、修正の予定はないという。
  5. Microsoft Publisher:リモート受信者リストによる NTLM の漏洩
    Publisher における、リモート受信者リストの初期検証中に、NTLM ハッシュが漏洩する。この問題は、ユーザーによるデータ・アクセスが、決定される前であっても発生する。対象となるファイルが存在していない場合であっても、検証を試行する攻撃者は、認証情報を取得できる。

これらの脆弱性に対する、Microsoft の対応は期待外れである。同社は、これらのリスクに対して “Moderate” と評価し、脆弱性を欠陥ではなく仕様だと主張している。Gorelik は、「Windows 11 の最新バージョンにおいても、Microsoft は問題を根本的に解決しようとせず、回避することに重点を置いている」と指摘している。

Microsoft から修正プログラムが提供されていないため、ユーザー企業は、自社の環境におけるセキュリティ確保を、自発的に行う必要がある。主な推奨事項は以下の通りである。

  • NTLM 認証の無効化:Group Policy を使用して NTLM の使用を制限し、Kerberos 認証の使用だけに制限する。
  • アウトバウンドの SMB トラフィックの遮断:信頼できないネットワークへの接続を防止し、NTLM の漏洩を緩和する。
  • エンドユーザーへの教育:従業員に対して、潜在的な悪用ベクターを認識させ、回避の方法を訓練する。

Gorelik は、「Microsoft がパッチを適用するのを待つのは、得策とは言えない。それぞれのユーザー企業は、いつ来るかわからない修正に頼るよりも、脆弱性を緩和するための対策を、直ちに講じる必要がある」と結論づけている。

またも、NTLM に問題が発生です。Microsoft としても、早くディスコンにしたいテクノロジーなのでしょうが、そう簡単にはいかないという事情があるようですね。NTLM に関連する直近のトピックは、2024/10/02 の「Microsoft Office の脆弱性 CVE-2024-38200:NTLMv2 ハッシュ・キャプチャの PoC が提供」です。よろしければ、NTLM で検索と併せて、ご参照ください。