Unveiling Zero-Day Behavior in PDF Samples: The Risk of NTLM Information Leaks
2025/01/15 SecurityOnline — EXPMON の最近の調査で検出されたのは、ローカル (ネット) NTLM 情報の漏洩につながる可能性がある、特定の PDF サンプルの “ゼロデイ振舞” である。それは、ゼロデイ攻撃とは異なるものであるが、観測された振舞が浮き彫りにするのは、Adobe Reader や Foxit Reader などの一般的な PDF アプリに生じる、重大なリスクである。
EXPMON の説明によると、「これはゼロデイ攻撃ではなく、これらのサンプルが悪意を持って作成されたことを示す証拠もない。しかし、一連のサンプルはパッチが適用されていない、未知の振舞を示していた」という。
EXPMON のサンドボックスで分析したところ、それらの PDF サンプルは、特定のアクションにより意図しないネットワーク・リクエストを誘発する脆弱性を示したという。調査の結果として、以下のことが明らかになった:
- Adobe Reader:このアプリケーションは、PDF に埋め込まれたアクションに基づき、ネットワーク・リソースを特定しようとする。EXPMON の分析によると、「PDF サンプルを直接に開くと、このアプリケーションは、“Applications” という名前のコンピュータを特定しようとする。そして、コンピュータが見つかると、サーバに接続し、ローカル (ネット) NTLM 情報を送信しようとする」と指摘されている。Adobe Reader は警告を発するが、ユーザーが対処する前に、NTLM 情報の漏洩が発生する。
- Foxit Reader:Foxit Reader は Adobe Readerとは異なり、同じ条件下では NTLM 情報の漏洩を引き起こさない。しかし、PDF の構造を少し変更するだけで、この振舞が表面化する。EXPMON は、「変更した PDF サンプルを Foxit Reader で開くと、アプリケーションはサーバ “pub.expmon.com” へと接続を試み、ローカル (ネット) NTLM 情報をサーバに送信する」と説明している。
この挙動が示すのは、PDF ファイルを操作する攻撃者が、自身の管理下にあるサーバ経向けて、不正に窃取した NTLM 情報を送信できるという重大な事実である。EXPMON は、このエクスプロイトの手法について、「攻撃者は、単に自身の管理下にあるサーバの名前を変更し、その PDF ファイルを被害者に送信するだけでよい。被害者が、そのファイルを開くと、攻撃者は被害者のローカル (ネット) NTLM 情報の取得に成功する」と詳述している。
ただし、この攻撃は、ネットワークの範囲に制限されることに注目すべきだ。
- Adobe Reader:この振舞はイントラネットのドメインに制限される。Adobe は、「DNS/NTLM コールは、イントラネットのドメインに対してのみ行われ、インターネットのドメインに対しては行われない」と述べている。
- Foxit Reader:この振舞は、パブリック・ドメインにまで拡大し、攻撃の対象範囲を広げる可能性がある」と述べている。
Adobe と Foxit Software の両社は、この調査結果に対して次のように回答している。
- Adobe:この振舞を確認できたが、イントラネット・ドメインの制限により、セキュリティ・リスクとは考えていない。Acrobat は、”Automatically trust sites from Win OS security zones” 機能が有効化されている場合にも、イントラネット・ドメインを信頼済みとみなすと、述べている。
- Foxit:すでに 2024年12月に、パッチをリリースしている。Foxit PDF Reader では、ただちにパッチ適用が可能であり、当社の Web サイトからダウンロードできると、述べている。
原文での表記が Zero-Day Behavior なので、”ゼロデイ振舞” と訳しましたが、記事の内容を見ると、普通にゼロデイ脆弱性で良いのかと思ってしまいます。ご利用のチームは、ご注意ください。よろしければ、NTLM で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.