フランスのセキュリティ研究者が、Windows OSにセキュリティ上の脆弱性を発見し、この脆弱性を悪用すると、リモートのWindowsに認証を行わせ、パスワードのハッシュを攻撃者に共有させることができます。
パリ在住のフランス人セキュリティ研究者であるジル・ライオネル氏が発見したこの脆弱性は、「PetitPotam」というニックネームで呼ばれており、概念実証(PoC)コードをGitHubで公開しました。
MS-EFSRPC EfsRpcOpenFileRaw関数を介して、Windowsホストに他のマシンへの認証を強要するPoCツールです。ドメインコントローラに対する認証情報は必要ありません。
Lionel氏によると、この脆弱性は攻撃者がMS-EFSRPC(Windowsマシンがリモートシステムに保存されている暗号化されたデータに対して操作を実行するためのプロトコル)を悪用します
PetitPotam攻撃のPoCコードでは、攻撃者がリモートシステムのMS-EFSRPCインターフェースにSMBリクエストを送信し、被害者のコンピュータに認証手順を開始させ、NTLM認証ハッシュを共有させることができます。
攻撃者は、このハッシュを収集し、NTLMリレー攻撃の一部として使用するか、ハッシュを保存してオフラインでクラックし、被害者のアカウントパスワードの平文版を取得するかの2通りの方法で攻撃することができます。
非常に危険な問題
PetitPotamは、非常に強力な攻撃であり、大企業のネットワークでは攻撃者はこれを利用してドメインコントローラにパスワードを共有させ、企業の内部ネットワークを完全に乗っ取ってしまうことも可能です。
やっとテストが終了しました!かなり酷い状況です。ネットワークアクセスからADの完全な乗っ取りまで…。NTLMリレーのPKIへの影響を本当に過小評価していました。PetitPotamとのコンボは最強!すぐに悪用できる情報がすべて公開されています。
さらに、Gilles氏と複数のセキュリティ研究者が行ったテストでは、MS-EFSRPCのサポートを無効にしてもこの攻撃の動作を阻止できないことが判明しています。
この攻撃は、Windows 10、Windows Server 2016、Windows Server 2019のシステムに対してテストされていますが、セキュリティ研究者は、PetitPotamが現在サポートされているほとんどのWindowsバージョンに影響を与えると考えています。
この攻撃を止めることができる既知の緩和策はないとのことです。
ネクストロン・システムズ社のリサーチ部門責任者であるフロリアン・ロート氏は、「適切な対策を開発するためには相当な時間と検討が必要になるでしょう」と語っています。
「脆弱なフォントドライバ・DLLやInternet Explorerのライブラリにパッチを当てる方がはるかに簡単です」とRoth氏は付け加えています
今回の脆弱性は、「PrintNightmare」「SeriousSAM(HiveNightmare)」に続く、過去1ヶ月間に公開された3つ目の大きなWindowsセキュリティ問題となっています。
Comments