「Windows」のNTLMプロトコルに2件の脆弱性

Charlie Osborne (ZDNET.com) 翻訳校正: 編集部

2017-07-13 10:29

 「Windows」のセキュリティプロトコルに2つの脆弱性が発見された。これらを悪用されると、パスワードをクラックされたり、ドメインのセキュリティを侵害されたりするおそれがあると研究者は警告する。

 Preemptのセキュリティチームは今週、Windowsの「NT LAN Manager」(NTLM)セキュリティプロトコルに2つのバグが発見されたことを明らかにした。NTLMは、「LAN Manager」(LANMAN)プラットフォームの後継に当たる。

 「これらの問題が特に重要なのは、LDAPサーバ署名やRDPのRestricted Adminモードといったベストプラクティスを実施していても、攻撃者によって、新しいドメイン管理者アカウントを作成されてしまうおそれがあるからだ」(同社)

 1つ目の脆弱性「CVE-2017-8563」には、NTLMリレーから保護されていない「Lightweight Directory Access Protocol」(LDAP)が関係している。

 LDAPは中間者攻撃や資格情報の転送を防ぐためのものだが、ここにセキュリティ脆弱性があると、資格情報の転送を防げないおそれが生じる。

 したがって、Windowsプロトコルが認証に関わるAPI「Security Support Provider Interface」(SSPI)を使うと、認証セッションのNTLMへのダウングレードが可能になるという。その結果、セキュリティを侵害されたシステムにドメイン管理者がいる場合、攻撃者は管理者アカウントを作成して、攻撃されたネットワークを掌握することができる。

 2つ目の問題(CVEは割り当てられていない)には、RDPのRestricted Adminモードが関係している。Preemptによると、ユーザーはリモートマシンのパスワードを入力しなくても、そのセキュリティが侵害されているかもしれないリモートマシンに接続できるという。

 「RDPのRestricted Adminモードを利用すると、ユーザーはリモートマシンへのパスワードを入力しなくても、そのセキュリティが侵害されているかもしれないリモートマシンに接続できる。したがって、認証リレーやパスワードクラックなど、NTLMを利用するあらゆる攻撃がRDPのRestricted Adminに対して実行されるおそれがある」

 「管理者がRDPのRestricted Adminや、HTTP、SMBなどのプロトコルで接続するたびに、攻撃者によって、悪意あるドメイン管理者を作成されてしまうリスクが発生する。このことは、NTLMセキュリティプロトコルに脆弱性が発見されたことの重大さを物語っている」

 Microsoftは米国時間7月11日の月例パッチの一部として、CVE-2017-8563の脆弱性を修正した。

Preemptによる説明動画

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]