レガシー Windows の NTLM バイパスの 0-Click 脆弱性:侵入口は Telnet Server で No Patch/Yes PoC

0-Click NTLM Authentication Bypass Hits Microsoft Telnet Server, PoC Releases, No Patch

2025/04/29 SecurityOnline — Microsoft Telnet Server に影響を及ぼす、深刻な脆弱性が発見された。この脆弱性を悪用するリモートの攻撃者は、認証を完全にバイパスし、有効な認証情報を必要とせずに管理者権限を取得する可能性を得る。Hacker Fantastic のレポートで詳細が説明されているように、この脆弱性は、Microsoft Telnet 認証プロトコル (MS-TNAP) に関連するものであり、また、レガシー Windows システムに対する深刻なセキュリティ脅威であるが、現時点において公式のパッチは提供されていない。

前述のレポートには、「Microsoft Telnet Server に存在する、深刻な 0-Click リモート認証バイパスの脆弱性により、攻撃者は有効な認証情報を必要とせずに、管理者などの任意のユーザーとしてアクセスを可能にする。この脆弱性は、Telnet Server が NTLM 認証プロセスを処理する方法における、ミスコンフィグに起因する」と記されている。

この脆弱性は、以下のレガシー Windows に影響を及ぼす:

  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2

この脆弱性は、Telnet サーバが NTLM 認証資格情報を適切に初期化せず、相互認証を不適切に処理することに起因する。具体的に言うと、サーバが認証ハンドシェイク中に、脆弱な SSPI フラグを設定してしまう。

このレポートでは、「サーバは SECPKG_CRED_BOTH フラグを使用して NTLM セキュリティを初期化し、さらに、ASC_REQ_DELEGATE およびASC_REQ_MUTUAL_AUTH フラグを指定する、AcceptSecurityContext() を使用する」と説明されている。

この不適切なコンフィグにより、認証関係が危険な逆転状態になり、サーバがクライアントの ID を検証する代わりに、自身をクライアントに対して認証することになる。

Hacker Fantastic が公開した PoC エクスプロイトは、以下の手順で、この脆弱性を悪用するものだ:

  • 特定のフラグを使用して相互認証を要求する。
  • 対象となる管理者アカウントに NULL パスワードを使用する。
  • SSPI フラグを操作してサーバの認証ロジックの欠陥を誘発する。
  • サーバを欺くように改変された NTLM Type 3 メッセージを送信する。
  • 完全な認証バイパスを実現し、最終的に管理者権限で Telnet セッションを開始する。

したがって、攻撃者は相互認証パケットを送信し、SSPI コンフィグを悪用してサーバ側の認証をバイパスすることで、ホスト上の任意のアカウントの認証をバイパスできる。

公開された PoC である telnetbypass.exe は、localhost またはドメインに参加しているホストをターゲットとするものであり、その前提として、Telnet サーバ・サービスが実行されている必要がある。

驚くべきことに、現時点において、この脆弱性に対するパッチは存在しない。そのため、ユーザー組織に対して強く推奨されるのは、以下の保護対策の速やかな実施である:

  1. すべてのシステムで、Telnet サーバ・サービスを無効化する。
  2. リモート管理においては、SSH などの安全な代替手段に移行する。
  3. ネットワーク・レベルのフィルタリングを実装し、Telnet アクセスを信頼できる IP とネットワークのみに制限する。
  4. アプリケーション制御ポリシーを使用して、許可されていない Telnet クライアントをブロックする。

重要なのは、大規模な悪用リスクを最小限に抑えるため、このエクスプロイトのソースコードが非公開とされていることだ。現時点では、バイナリ PoC のみが公開されている。

Microsoft Telnet Server に深刻な 0-click 脆弱性が確認され、パッチ未提供のまま PoC が公開されるという、非常に危険な状況です。Microsoft は Windows Server 2012 R2 以降、Telnet Server を非推奨としていますが、すでに使っていない環境でも油断は禁物です。ご利用中のチームやシステムで Telnet が有効になっていないか、今一度ご確認ください。よろしければ、以下の関連記事も、NTLM で検索と併せてご参照ください。

2025/04/18:Windows NTLM の脆弱性が CISA KEV に登録
2025/04/16:Windows 脆弱性:NTLM ハッシュ漏洩が発覚
2025/03/25:Windows に NTLM ハッシュ漏洩の脆弱性
2025/03/19:Windows Explorer:NTLM ハッシュ漏洩と PoC