Microsoft NTLM Zero-Day to Remain Unpatched Until April
2024/12/10 DarkReading — Windows Workstation/Server に存在する、NTLM ハッシュのゼロデイ脆弱性が、ACROS Security の研究者たちにより発見された。Windows バージョン 7〜11 に影響を及ぼす、この問題が公開された数日後に、Microsoft はガイダンスを公開し、NTLM リレー攻撃をデフォルトで緩和する方法を共有している。
この、脆弱性の発見とガイダンスの共有における、関連性の有無について、現時点では不明である。いずれにしても、この脆弱性には、CVE や CVSS スコアが未だに付与されておらず、数ヶ月間は修正されない見込みである。
Windows の NTLM ゼロデイ脆弱性と認証情報の窃取
Windows の全バージョンにゼロデイ脆弱性が存在することが、ACROS Security の研究者により明らかになった。この脆弱性の悪用に成功した攻撃者は、Windows Explorer を介して悪意のファイルを開かせるだけで、ユーザーの NTLM 認証情報を取得できるという。
ACROS Security の CEO である Mitja Kolsek のブログには、「そのような悪意のファイルが保存されている、共有フォルダや USB ディスクを開かせることで、攻撃者はユーザーの NTLM 認証情報を取得できる。また、攻撃者の Web ページから自動的にダウンロードされた、悪意のファイルが保持されているダウンロード・フォルダを開かせることでも、NTLM 認証情報は不正に取得されてしまう」と記されている。
Microsoft の方針によると、修正プログラムがリリースされるまで、この脆弱性に関する追加の情報は公開されない。Kolsk の指摘は、「このバグの悪用の可否は、さまざまな要因により左右される。実際に悪用を試みない限り、攻撃が可能な場所を見つけるのは容易ではない」というものだ。
Microsoft は、この脆弱性の深刻度を、”Critical” よりも1段階低い “Important” あるいは “Moderate” と評価しており、2025年4月に修正プログラムを発行する予定だとしている。同社の広報担当者は、「報告は認識しており、必要に応じて対策を講じ、ユーザーの保護に努める」と、メールでコメントしている。
2024年10月にも ACROS は、Windows のゼロデイ NTLM 脆弱性 CVE-2024-38030 を発見し、Microsoft に報告している。この脆弱性は、Windows テーマの偽装問題に起因するものであり、被害者のデバイスを操作する攻撃者が、ユーザーの NTLM 認証ハッシュを窃取し、攻撃者が管理するデバイスへと送信させるものだ。現時点において、Microsoft は、このバグに対してもパッチを発行していない。
近年に表面化した NTLM 関連の問題として、PetitPotam/ DFSCoerce/PrinterBug/SpoolSample などが挙げられるが、今回の問題も、その1つとして数えられる。最近では、オープンソースのポリシー施行エンジンに影響を与える、NTLM 問題もある。
レガシー・プロトコルの危険性
NTLM (NT LAN Manager) とは、Windows におけるレガシーな認証プロトコルのことであり、下位互換性を維持するために、最新の Windows にも組み込まれている。このプロトコルの脆弱性を標的とする攻撃者は、認証リクエストの傍受/転送/中継を達成し、対象ユーザーにアクセスが許されるサーバやサービスへと、不正にアクセスしていくに。
Microsoft の説明は、「NTLM リレーは、脅威アクターが用いる一般的な攻撃手法であり、ID の侵害を可能にする」というものだ。この攻撃の仕組みは、攻撃者が管理するエンドポイントで、被害者を強制的に認証させ、脆弱なサーバやサービスに対して、その認証を中継させるというものだ。
Microsoft が取り上げる、過去に発生した NTLM リレーの事例は、この攻撃に対する保護機能を持たないサービスの脆弱性の悪用である。具体的に言うと、Outlook の CVE-2023-23397 や、Windows LSA の CVE-2021-36942 などがあるという。
このような攻撃への対応として Microsoft が指摘するのは、LDAP/AD CS/Exchange Server における EPA (Extended Protection for Authentication) を、デフォルトで有効化するためのガイダンスの更新である。なお、最新の Windows Server 2025 では、AD CS と LDAP において、EPA はデフォルトで有効化されている。
このアドバイザリで強調されているのは、NTLM 脅威の状況において Exchange Server が果たしてしまう “独特な役割” への配慮であり、EPA の有効化が重要かつ必須であるという点だ。
最近の NTLM リレー攻撃で悪用された脆弱性の例として、Microsoft が挙げるのは CVE-2024-21413/CVE-2023-23397/CVE-2023-36563 である。同社は、「Outlook で送信された Office ドキュメントや電子メールには、UNC リンクを埋め込むことが可能である。したがって、NTLM 強制の脆弱性を悪用する攻撃者にとって、効果的な侵入ポイントとなる」と説明している。
Kolsek が指摘するのは、NTLM 攻撃に対する防御策としての Microsoft のアドバイスと、最近になって公表されたバグの関係性が不明だという点だ。彼は、「ユーザーが参照すべきは、NTLM 関連の脆弱性を緩和する Microsoft の推奨事項であり、0patch が提供するマイクロ・パッチである」と述べている。0patch が提供するのは、サポートが終了した古いソフトウェア製品に存在する、脆弱性を緩和するための無料のマイクロ・パッチである。
おそらく、Microsoft のセキュリティ担当者にとって、NTLM は一番の悩みの種なのではないでしょうか? 脆弱性が多発していますし、その対応に窮しているという感じがします。いまの利用されている、レガシー・プロトコルへの対応は、ほんとうに大変なことです。最近では、2024/11/26 に「NTLM の脆弱性:Microsoft 環境に潜む深刻なセキュリティ・リスクとは?」という記事がポストされています。よろしければ、NTLM で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.