Windows に NTLM ハッシュ漏洩の脆弱性:0patch がマイクロパッチを提供

New Windows zero-day leaks NTLM hashes, gets unofficial patch

2025/03/25 BleepingComputer — Windows の新たなゼロデイ脆弱性に対する、無料の非公式パッチが提供された。この脆弱性を悪用するリモート攻撃者は、ターゲットを騙して Windows Explorer 上で悪意のファイルを表示させ、NTLM 認証情報を盗み出す機会を手にする。

NTLM の欠陥を突く攻撃の手法としては、攻撃者が管理するサーバにより、脆弱なネットワーク・デバイスを強制的に認証させる、NTLM リレー攻撃がある。また、脆弱性を悪用してハッシュ化されたパスワードである、NTLM ハッシュを盗み出す、パスザハッシュ攻撃もある。

続いて攻撃者は、侵害したユーザーから盗んだハッシュにより認証を通過し、機密データにアクセスし、ネットワーク上を横方向へと移動する。昨年に Microsoft が発表したのは、将来の Windows 11 バージョンにおいては、NTLM 認証プロトコルを廃止するという計画である。

先日に ACROS Security の研究者たちは、別の NTLM ハッシュ漏洩問題に対するパッチを開発しているときに、新しい SCF ファイルの NTLM ハッシュ漏洩の脆弱性を発見した。この新しいゼロデイには、CVE-ID が割り当てられていない。ただし、その影響の範囲は、Windows 7 〜 Windows 11 、および、Server 2008 R2 〜Server 2025 までの、すべての Windows バージョンにまたがるものだ。

3月25日 (火) に ACROS Security の CEO である Mitja Kolsek は、「この脆弱性の悪用に成功した攻撃者は、Windows Explorer で悪意のファイルをユーザーに表示させることで、そのユーザーの NTLM 認証情報を取得できる。想定されるケースとして挙げられるのは、そのようなファイルを取り込んだ、共有フォルダーや USB ディスクを開くとき、また、そのようなファイルが、攻撃者の Web ページから自動的にダウンロードされたフォルダーを開くときなどである」と述べている

彼は、「これらのタイプの脆弱性は深刻なものではなく、その悪用の可能性は、いくつかの要因 (被害者のネットワーク内に攻撃者が侵入している場合や、盗んだ認証情報を中継するための公開 Exchange サーバなどの外部ターゲットを持っている場合など) に依存するが、実際の攻撃で使用されていることも判明している」と付け加えている。

すべての 0patch ユーザーに提供されるマイクロパッチ

ACROS Security は、Microsoft が公式の修正プログラムをリリースするまでの対応として、影響を受ける Windows バージョンに 0Patch マイクロパッチを提供している。それは、このゼロデイ脆弱性に対する、無料かつ非公式のセキュリティ・パッチである。

Mitja Kolsek は、「この問題を Microsoft に報告し、いつものように、Microsoft が公式の修正プログラムを提供するまで、無料のマイクロパッチを発行することにした。なお、悪用のリスクを最小限に抑えるため、Microsoft の修正プログラムが提供されるまで、この脆弱性に関する詳細は公表しない」と述べている。

このマイクロパッチを、Windows PC にインストールするには、アカウントを作成して、0patch エージェントをインストールする。カスタム・パッチ・ポリシーでブロックされない場合において、このエージェントが起動すると、マイクロパッチが自動的に適用されるが、システムを再起動する必要はない。

最近の数か月において 0patch は、Microsoft がパッチを適用していない3つのゼロデイ脆弱性を報告している。そこに含まれるのは、Windows テーマのバグ CVE-2025-21308(パッチ適用済み) および、Server 2012 における Mark of the Web バイパスのバグ CVE-N/A (パッチ未適用)、URL ファイルの NTLM ハッシュ漏洩脆弱性 CVE-2025-21377 (パッチ適用済み) などである。

以前においても 0patch は、PetitPotam/PrinterBug/SpoolSample/DFSCoerce などの、NTLM ハッシュ漏洩の脆弱性を公開しているが、これらに対しては、現時点でパッチは未適用である。

先ほど、BleepingComputer から Microsoft に連絡を取ったが、同社の広報担当者は、すぐには声明を発表できなかったという。

2025/03/19 に「Windows Explorer の脆弱性 CVE-2025-24071 の悪用:NTLM ハッシュ漏洩と PoC のリリース」という記事を投稿したばかりですが、また別の脆弱性が発見されたようです。Microsoft が NTLM 廃止に向けて動いているとはいえ、依然として多くの環境で使われていることを考えると、この種のセキュリティ・リスクを減らすのは難しいのだろうと感じます。よろしければ、以下の関連記事も、NTLM で検索と併せてご利用ください。

2024/12/10:Microsoft NTLM の新たな脆弱性:0patch が対応
2024/11/26:NTLM の脆弱性 – Microsoft 環境に潜む深刻なリスク
2024/06/04: NTLM プロトコルの廃止に踏み切る Microsoft