Windows

攻撃者がリモートから標的の NTLM 認証情報を盗むことを可能にする、新しい Windows Themes のゼロデイ脆弱性に対して、現在、無料の非公式パッチが提供されている。

NTLM は、脅威者が脆弱なネットワークデバイスを強制的に制御下にあるサーバに対して認証させるNTLM リレー攻撃や、システムの脆弱性を悪用したり悪意のあるソフトウェアを導入したりして、標的となるシステムから NTLM ハッシュ(ハッシュ化されたパスワード)を取得するパス・ザ・ハッシュ攻撃において、広範囲に悪用されている。

ハッシュを入手すると、攻撃者は侵害されたユーザーとして認証することができ、機密データにアクセスできるようになる。1年前、マイクロソフト社はWindows 11のNTLM認証プロトコルを将来的に廃止する予定であると発表した。

不完全なセキュリティ・パッチへのバイパス

ACROS セキュリティの研究者は、ユーザーの認証情報を漏えいさせる可能性のあるCVE-2024-38030として追跡されているセキュリティ問題(アカマイの Tomer Peled が発見、報告)のマイクロパッチを開発している際に、新しい Windows テーマのゼロデイ(CVE ID はまだ割り当てられていない)を発見しました。

「マイクロソフト社が CVE-2024-21320 アドバイザリで説明しているように、「攻撃者は、通常 Eメールまたはインスタント・メッセンジャー・メッセージの誘い文句によって、脆弱なシステムに悪質なファイルをロードするようユーザーを説得し、特別に細工されたファイルを操作するようユーザーを説得しなければなりませんが、必ずしも悪質なファイルをクリックしたり開いたりする必要はありません。

マイクロソフトが7月にCVE-2024-38030のパッチを適用しているにもかかわらず、ACROSセキュリティは、攻撃者がWindows 7からWindows 11 24H2に至るまで、完全に更新されたWindowsのすべてのバージョンにおいて、標的のNTLM認証情報を盗むために悪用できる別の問題を発見した。

「この問題を分析している間、私たちのセキュリティ研究者は少し周りを見てみることにし、現在最新のWindows 11 24H2に至るまで、完全に更新されたすべてのWindowsバージョンでまだ存在する、全く同じ問題の追加のインスタンスを発見しました」とACROS SecurityのCEO MitjaKolsekは述べています。

「そこで、CVE-2024-38030を修正する代わりに、Windowsのテーマファイルに対するより一般的なパッチを作成しました。このパッチは、単にテーマファイルを閲覧しただけで、Windowsがテーマファイルで指定されたリモートホストにネットワークリクエストを送信するすべての実行パスをカバーするものです。

Kolsek氏は、完全にパッチが適用されたWindows 11 24H2システム(左側)上で悪意のあるWindowsテーマ・ファイルをコピーすると、攻撃者のマシンへのネットワーク接続がトリガーされ、ログインしているユーザーのNTLM認証情報が暴露される様子を示すビデオ・デモ(以下に埋め込み)を公開した。

無償および非公式のマイクロパッチを提供

同社は現在、マイクロソフト社から正式な修正プログラムが提供されるまでの間、影響を受けるすべてのWindowsバージョンに対して、0patchマイクロパッチサービスを通じて、このゼロデイバグに対する非公式のセキュリティパッチを無償で提供しており、すでに同社の0patchエージェントが稼働しているすべてのオンラインWindowsシステムに適用されている。

これは “0day “脆弱性であり、ベンダーによる公式な修正プログラムが提供されていないため、そのような修正プログラムが利用可能になるまで、当社のマイクロパッチを無償で提供します」とKolsek氏は述べた。

Windowsデバイスにマイクロパッチをインストールするには、0patchアカウントを作成し、0patchエージェントをインストールする。エージェントを起動すると、マイクロパッチをブロックするカスタムパッチポリシーがなければ、システムの再起動を必要とせずに自動的にマイクロパッチが適用される。

ただし、この場合、0patchが提供するのはWindows Workstation用のマイクロパッチのみであることに注意する必要がある。なぜなら、Windows ServerではDesktop Experience機能がインストールされるまでWindows Themesが動作しないからだ。

「さらに、サーバー上で情報漏えいが発生するには、Windowsエクスプローラやデスクトップでテーマファイルを表示するだけでは不十分で、テーマファイルをダブルクリックし、テーマを適用する必要がある」とKolsek氏は付け加えた。

マイクロソフト社は、「この報告を承知しており、顧客が保護されるよう必要に応じて対処する」と答えたが、パッチの時期について尋ねられたマイクロソフト・セキュリティ・レスポンス・センターは、Kolsek氏に「この問題にできるだけ早くパッチを当てるつもりである」と答えた。

正式なパッチが提供されるまでの間、0patchのマイクロパッチに代わるものを求めるWindowsユーザーは、CVE-2024-21320アドバイザリに詳述されているように、NTLMハッシュをブロックするグループ・ポリシーを適用するなど、マイクロソフトが提供する緩和策を適用することもできる。