マイクロソフトからの追加情報を更新。
マイクロソフトは、Office 2016 に影響を及ぼす深刻度の高い脆弱性を公表し、リモート攻撃者に NTLM ハッシュを公開する可能性があることを明らかにした。
CVE-2024-38200として追跡されているこのセキュリティ上の欠陥は、無許可の行為者が保護された情報にアクセスすることを可能にする情報漏洩の弱点が原因です。
この欠陥は、Office 2016、Office 2019、Office LTSC 2021、Microsoft 365 Apps for Enterpriseを含む、複数の32ビットおよび64ビットのOfficeバージョンに影響します。
マイクロソフトの悪用可能性評価では、CVE-2024-38200の悪用の可能性は低いとされているにもかかわらず、MITREはこの種の弱点に対する悪用の可能性を高確率としている。
「Webベースの攻撃シナリオでは、攻撃者は、脆弱性を悪用するように設計された特別に細工されたファイルを含むWebサイトをホストすることができます(または、ユーザー提供のコンテンツを受け入れるか、ホストする侵害されたWebサイトを活用することができます)」とMicroosoftの勧告は説明している。
「しかし、攻撃者はユーザーに強制的にウェブサイトを訪問させることはできません。その代わりに、攻撃者はユーザーにリンクをクリックするよう、通常は電子メールやインスタント・メッセンジャー・メッセージの誘い文句によって説得し、特別に細工されたファイルを開くよう、ユーザーを説得する必要がある」と説明している。
同社は、このバグに対処するためのセキュリティ更新プログラムを開発中だが、リリース時期についてはまだ発表していない。
この記事の公開後、マイクロソフト社はアドバイザリでCVE-2024-38200の不具合についてさらなる情報を共有し、2024年7月30日にFeature Flightingを通じて修正プログラムをリリースしたと述べている。
「CVE-2024-38200のアドバイザリは更新され、「2024年7月30日にFeature Flightingを通じて有効化された、この問題に対する代替修正を特定しました。
「お客様は、Microsoft OfficeおよびMicrosoft 365のすべてのサポート対象バージョンですでに保護されています。お客様は、修正プログラムの最終バージョンである2024年8月13日のアップデートにアップデートする必要があります。
同アドバイザリではさらに、リモートサーバーへのアウトバウンドNTLMトラフィックをブロックすることで、この欠陥を軽減できると述べている。
マイクロソフト社によれば、以下の3つの方法でNTLMの送信トラフィックをブロックすることができるという:
- ネットワークセキュリティを設定する:ネットワークセキュリティ: NTLM の制限: リモートサーバへの NTLM 発信トラフィック」グループポリシーを設定し、Windows 7、Windows Server 2008 以降を実行しているコンピュータから、Windows オペレーティングシステムを実行しているリモートサーバへの NTLM 発信トラフィックを許可、ブロック、または監査する。この場合、NTLM トラフィックをブロックするポリシーを使用します。
- 保護されたユーザセキュリティグループにユーザを追加し、認証メカニズムとして NTLM の使用を制限する。
- TCP ポート 445 へのすべての送信トラフィックをブロックする。
マイクロソフトは、これらの緩和策のいずれかを利用することで、NTLM 認証に依存しているリモートサーバへの正当なアクセスを妨げる可能性があることを指摘している。
Microsoft 社はこの脆弱性についての詳細な情報を公開していないが、このガイダンスによれば、この欠陥は攻撃者のサーバ上の SMB 共有など、アウトバウンドの NTLM 接続を強制するために使用することができる。
この場合、Windows はハッシュ化されたパスワードを含むユーザの NTLM ハッシュを送信し、攻撃者はこれを盗むことができる。
過去に何度も実証されているように、これらのハッシュはクラックすることが可能であり、脅威者はログイン名や平文のパスワードにアクセスすることができる。
NTLM ハッシュは、以前にもShadowCoerce、DFSCoerce、PetitPotam、RemotePotato0攻撃で見られたように、ネットワーク上の他のリソースにアクセスするための NTLM リレー攻撃にも使用することができる。
詳細はDefconで発表
マイクロソフトは、この欠陥の発見をPrivSec Consultingのセキュリティ・コンサルタントJim RushとSynack Red TeamのメンバーMetin Yunus Kandemirによるものだとしている。
PrivSec のマネージング・ディレクターである Peter Jakowetz 氏は、Rush 氏が今度の Defcon の講演 “NTLM – The last ride” でこの脆弱性に関する詳細な情報を公開する予定であると語った。
「私たちがMicrosoftに開示したいくつかの新しいバグ(既存のCVEの修正をバイパスすることを含む)、いくつかの興味深く有用なテクニック、いくつかの予期せぬ発見をもたらした複数のバグクラスからのテクニックの組み合わせ、そしていくつかの絶対に調理されたバグについて深く掘り下げる予定です」とRush氏は説明する。
「また、賢明なライブラリやアプリケーションには存在しないはずのデフォルトや、マイクロソフトの NTLM 関連セキュリティ制御のいくつかの顕著なギャップも発見されるだろう。
マイクロソフトはまた、最新のWindowsシステムに「パッチを当てない」ために悪用され、古い脆弱性を再導入する可能性のあるゼロデイ欠陥のパッチ適用にも取り組んでいる。
同社は今週初め、2018年以降に悪用されたWindows Smart App Control、SmartScreenのバイパスへのパッチ適用を検討しているとも述べている。
更新8/10/24:マイクロソフトから、この欠陥の緩和に関する追加情報を追加した。
Comments