Windows LNK の脆弱性と NTLM ハッシュ抽出:PoC の提供と MOTW 依存の Microsoft

Unpatched Windows LNK Vulnerability Allows Attacker to Capture NTLM Hash

2025/04/30 SecurityOnline — Windows の LNK ファイル (ショートカット) に影響を及ぼす未修正の脆弱性を、セキュリティ研究者である Nafiez が公開した。この問題は、ユーザーによる明示的なショートカットの起動を必要とせずに、UNC パスを介して NTLM ハッシュを盗み取ることが可能になるというものだ。すでに PoC エクスプロイトが機能しているが、Mark of the Web (MOTW) が十分な保護手段であるとする Microsoft は、この脆弱性への修正を拒否している。

Nafiez は、「Microsoft の正当性は、Mark of the Web (MOTW) 保護メカニズムに集約されており、この問題は、提供されるべきセキュリティ・サービスの基準を満たしていないと主張している」と説明している。

Nafiez が実証しているのは、無害に見える悪意の LNK ファイルを作成する攻撃者が、EnvironmentVariableDataBlock の操作により、ネットワーク接続やコマンド実行といったアクションを開始できることだ。

この脆弱性は、LNKファイルの内部フラグとデータ構造の処理方法に起因してする。具体的には、以下のようなシナリオになる:

  • HasArguments フラグと EnvironmentVariableDataBlock により、UNC パス (例:\192.168.44.128\c) をターゲットとして挿入することが可能になる。
  • BlockSize を 0x00000314 に、署名を 0xA0000001 に設定することで、攻撃者は LNK ファイルの解析時の動作を制御できる。
  • 細工された UNC パスは、悪意の LNK ファイルを取り込んだフォルダが開いたときに、Explorer により処理される。この処理は、ファイルが手動で実行される前であっても実行される。

Nafiez は、「LNK ファイルを取り込んだフォルダにユーザーがアクセスすると、そのフォルダに保存されている、すべてのファイルが Explorer により解析される。このタイミングで、ファイルの初期化が呼び出され、実行の準備が整う」と記している。

Windows Explorer は、IInitializeNetworkFolder や IShellFolder2 などの COM インターフェイスのチェーンを用いて、ファイルのメタデータを処理/表示する。この解析はフォルダーへのアクセスと同時に開始される。

Nafiez は、「このインターフェイス・チェーンは、Windows がネットワーク・リソースを処理するために階層化された抽象化を構築し、各層で特殊な機能を追加している様子を示している」と説明する。

したがって攻撃者は、LNK ファイルの TargetUnicode バッファ内に UNC パスを埋め込むことで、ネットワーク・アクティビティを密かにトリガーできる。つまり、Responder などのツールを使用して、このような強制接続をベースに NTLM ハッシュをキャプチャする環境では特に危険となる。

Microsoft は、信頼できないソースからダウンロードされた、ファイルに適用されるメタデータ・タグである Mark of the Web (MOTW) により、このような攻撃を阻止できると主張している。しかし Nafiez は、「この状況が浮き彫りにするのは、二次的な保護メカニズムに頼るべきか、それとも根本的な脆弱性にダイレクトに対処すべきかという、熟慮すべき分かれ道である」と反論している。

Nafiez は、Windows API コールを用いて、悪意の “.lnk” ファイルをプログラム的に作成する詳細な PoC エクスプロイトを公開している。この作成されたファイルを、Responder などのツールと組み合わせることで、NTLM 認証ハッシュの抽出が可能になるため、レッドチーム演習/ペネトレーション・テストにおいて、さらにはセキュリティが不十分なネットワークに対する実際の攻撃にも利用できる。

Nafiez は、「コードをコンパイルしたら、EXE ファイルを実行して LNK ファイルを生成し、Responder ツールを実行して NTLM ハッシュを取得してみてほしい」と締め括っている。

Microsoft は、MOTW で十分に防御できると判断し、この脆弱性に対して修正を行っていないようです。しかし、この脆弱性は PoC が公開されている上に、最近では MOTW を回避する脆弱性がいくつか報告されています。こうした状況を見ると、修正されないままでいるのは正直、不安を感じます。よろしければ、以下の関連記事も、MOTW で検索も、ご参照下さい。

2025/04/22:WinZip の脆弱性:MotW バイパスとパッチ未適用
2025/04/03:WinRAR の MotW バイパスとコード実行の脆弱性
2025/01/26:7-Zip の MotW バイパス CVE-2025-0411:PoC
2024/11/22:WinZip の MoTW バイパスの CVE-2024-8811