NTLMv1 Group Policy Bypass Discovered: A Wake-Up Call for Active Directory Administrators
2025/01/21 SecurityOnline — グループ・ポリシーのメカニズムに存在する深刻な欠陥により、古い NTLMv1 認証プロトコルの無効化に失敗することが、Silverfort の調査で明らかになった。具体的に言うと、Active Directory ポリシーにより NTLMv1 をブロックしても、ミスコンフィグの発生により、この制限のバイパスを攻撃者に許す可能性があるという。この欠陥は、依然として旧式の認証システムに依存している企業にとって、深刻なリスクになる。
すでに Microsoft は、きわめて安全性の低い NTLMv1 を非推奨としているが、ユーザー・サイドでは依然として広く使用されている。さらに、Active Directory のユーザー・アカウントの 64% が、依然として NTLM 認証プロトコルを使用していることが、Silverfort の調査により判明している。NTLMv1 をブロックするよう設計されたグループ・ポリシーは、Netlogon RPC (remote procedure call) インターフェイスの ParameterControl フィールドにおいて、特定のフラグを設定することで回避できるという。
Silverfort が実証したのは、NTLMv1 認証を必要とするアプリケーションが、そのためのリクエストを、依然としてドメイン・コントローラに検証させていることである。同社の研究者たちは、「ユーザー組織は、このグループ・ポリシーを設定することで、適切な対応をしているつもりだろうが、誤設定されたアプリケーションにより回避されてしまう」と述べている。
この欠陥により、以下のような深刻な影響が生じるという:
- 認証情報の窃取:NTLMv1 トラフィックを傍受する攻撃者は 、オフラインでのクラッキングを実行して、認証情報を入手できる。
- 横移動:侵害したアカウントを悪用する攻撃者は、特権を昇格させ、ネットワークを横移動できる。
- 偽りのセキュリティ感:NTLMv1 をブロックするために、グループ・ポリシーだけに依存している組織は、自社の脆弱性を過小評価している可能性がある。
2024年9月の時点で、Silverfort の公表を受けた Microsoft は、Windows 11 バージョン 24H2/Windows Server 2025 から、NTLMv1 を完全に削除すると発表した。Microsoft は、この欠陥を脆弱性として分類していないが、上記の措置は、認証標準の近代化に対する同社の取り組みを浮き彫りにしている。
NTLMv1 のリスクを軽減するための、Silverfort による推奨事項は、以下の通りだ:
- NTLM の使用状況の監査:ドメイン内の、すべての NTLM 認証を特定するためにログを有効化する。
- アプリケーションのマッピング:フォールバック・シナリオを含めて、NTLMv1 に依存するアプリケーションを特定し、文書化する。
- 脆弱性の検出:NTLMv1 メッセージを要求する、アプリケーションを特定するツールを使用する。
- 最新の認証方式の導入:可能な限り、Kerberos や SSO (Single Sign-On) などのプロトコルに移行する。
攻撃者たちは、リレー攻撃/認証情報の窃取/中間者攻撃などを実行するために、長い期間にわたって NTLMv1 の欠陥を悪用してきた。NTLMv2 により、大幅な改善がもたらされたが、旧来のアプリケーションや Windows 以外のクライアントなどには、依然として欠陥が残存している。Silverfort は、「コンフィグレーションにより、アプリケーションでの NTLMv1 認証が可能である限り、この問題は継続する」と警告している。
Active Directory ポリシーにより NTLMv1 をブロックしても、ミスコンフィグが発生すると問題が生じるようです。ご利用のチームは、ご注意ください。そして、ちょっと驚いたのが、Active Directory のユーザー・アカウントの 64% で、依然として NTLM 認証プロトコルが使用されているというデータです。まだまだ、根強いのですね。よろしければ、NTLM で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.