Hackers Exploit NTLM Authentication Flaws to Target Windows Systems
2025/11/26 CyberSecurityNews — 最初の問題の発見から 20年以上が経った今でも、NTLM 認証プロトコルは世界中の Windows システムを悩ませ続けている。この問題は、2001年に理論上の脆弱性として始まったが、広範囲にわたるセキュリティ危機へと発展し、複数の NTLM の脆弱性を積極的に悪用する攻撃者は、さまざまな地域のネットワークに侵入している。
New Technology LAN Manager (NTLM) プロトコルは、3段階ハンドシェイクを用いて Windows 環境のクライアントとサーバを認証するために設計されたものだ。
Microsoft は、Windows 11 24H2/Windows Server 2025 以降において、NTLM を完全に廃止する計画を発表したが、このプロトコルは依然として数百万台のシステムに組み込まれている。
したがって、脆弱性も残存しているため、NTLM の時代遅れのメカニズムに新たな脆弱性を発見するサイバー犯罪者は、それらを悪用し続けている。
複数の攻撃ベクターが活発に悪用されている
NTLM の脆弱性により、いくつかの危険な攻撃手法が可能になってしまう。悪意のファイルを作成した攻撃者が、Windows を騙してユーザーの操作なしに認証ハッシュを送信させることで、ハッシュ漏洩が発生する。
| CVE ID | Severity | Affected Systems | Impact | Known Campaigns |
|---|---|---|---|---|
| CVE-2024-43451 | High | Windows (Multiple Versions) | Hash Leakage, Credential Compromise | BlindEagle (Remcos RAT), Head Mare |
| CVE-2025-24054/CVE-2025-24071 | High | Windows 11, Windows Server | Hash Leakage, Unauthorized Access | Trojan Distribution in Russia (AveMaria/Warzone) |
| CVE-2025-33073 | High | Windows (SMB Client) | Privilege Escalation to SYSTEM Level | Uzbekistan Financial Sector Attack |
強制型攻撃と呼ばれるものでは、攻撃者が管理するサービスに対してシステムに認証を強制する手法が用いられる。認証情報を侵害した攻撃者は、Pass-the-Hash などの認証情報転送技術を用いてネットワークを横断的に移動し、実際のパスワードを必要とせずに権限を昇格させる。
中間者攻撃は、依然として効果的であり、NTLM リレーは過去 20年間で最も影響力のある攻撃手法であり続けている。攻撃者はクライアントとサーバの間に入り込み、認証トラフィックを傍受して認証情報を取得する。
セキュリティ研究者たちが特定したのは、2024年と 2025年にも積極的に悪用されている、いくつかの深刻な NTLM 脆弱性である。
脆弱性 CVE-2024-43451 を悪用する攻撃者は、悪意の “.url” ファイルを介して NTLMv2 ハッシュを漏洩させる可能性がある。それらのファイルに対して、クリック/右クリック/移動操作を行うだけで、WebDAV を実行している攻撃者のサーバに自動的に接続される。
この脆弱性を悪用する BlindEagle APT グループは、コロンビア国内の標的に対して Remcos RAT を配布している。それと同時に、Head Mare ハクティビストは、この脆弱性をロシアとベラルーシの組織に対して悪用している。
脆弱性 CVE-2025-24054/CVE-2025-24071 は、ZIP アーカイブ内の “.library-ms” ファイルを標的とし、攻撃者が管理するサーバへの NTLM 認証を自動的に実行する。研究者たちが検知したのは、この手法を用いてトロイの木馬 AveMaria を配布する、ロシアにおけるキャンペーンである。
脆弱性 CVE-2025-33073 を悪用する脅威アクターは、危険なリフレクション攻撃を可能にする。それらの攻撃者は、DNS レコードを操作して Windows を欺き、外部認証要求をローカルとして処理させ、通常のセキュリティチェックを回避し、SYSTEM レベルの権限を取得する。
Kaspersky の SecureList によると、この脆弱性を悪用する不審な活動が、ウズベキスタンの金融セクターで検出されたようだ。
以前から Microsoft は、これらの脆弱性にパッチで対処しているが、依然としてエンタープライズ・ネットワークには、このレガシー・プロトコルが存在しているため、攻撃は継続するとみられる。
古いアプリケーションとの互換性のために NTLM を維持している組織は、脆弱性を引きずることになる。セキュリティ・チームにとって必要なことは、Windows インフラ全体にわたって、Kerberos へのマイグレーション/ネットワーク・セグメンテーションの実装、不審な認証試行の監視を優先することだ。
古い認証方式を長く使い続けていることで発生する NTLM の脆弱性を、いまも攻撃者たちは悪用し続けています。NTLM の仕組みが時代遅れであり、ハッシュを扱う設計が攻撃者に悪用されやすい状態で放置され、さまざまな攻撃につながっていると、この記事は指摘しています。よろしければ、NTLM での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.