「Windows」のNTLMプロトコルに2件の脆弱性

Charlie Osborne (ZDNET.com) 翻訳校正: 編集部

2017-07-13 10:29

 「Windows」のセキュリティプロトコルに2つの脆弱性が発見された。これらを悪用されると、パスワードをクラックされたり、ドメインのセキュリティを侵害されたりするおそれがあると研究者は警告する。

 Preemptのセキュリティチームは今週、Windowsの「NT LAN Manager」(NTLM)セキュリティプロトコルに2つのバグが発見されたことを明らかにした。NTLMは、「LAN Manager」(LANMAN)プラットフォームの後継に当たる。

 「これらの問題が特に重要なのは、LDAPサーバ署名やRDPのRestricted Adminモードといったベストプラクティスを実施していても、攻撃者によって、新しいドメイン管理者アカウントを作成されてしまうおそれがあるからだ」(同社)

 1つ目の脆弱性「CVE-2017-8563」には、NTLMリレーから保護されていない「Lightweight Directory Access Protocol」(LDAP)が関係している。

 LDAPは中間者攻撃や資格情報の転送を防ぐためのものだが、ここにセキュリティ脆弱性があると、資格情報の転送を防げないおそれが生じる。

 したがって、Windowsプロトコルが認証に関わるAPI「Security Support Provider Interface」(SSPI)を使うと、認証セッションのNTLMへのダウングレードが可能になるという。その結果、セキュリティを侵害されたシステムにドメイン管理者がいる場合、攻撃者は管理者アカウントを作成して、攻撃されたネットワークを掌握することができる。

 2つ目の問題(CVEは割り当てられていない)には、RDPのRestricted Adminモードが関係している。Preemptによると、ユーザーはリモートマシンのパスワードを入力しなくても、そのセキュリティが侵害されているかもしれないリモートマシンに接続できるという。

 「RDPのRestricted Adminモードを利用すると、ユーザーはリモートマシンへのパスワードを入力しなくても、そのセキュリティが侵害されているかもしれないリモートマシンに接続できる。したがって、認証リレーやパスワードクラックなど、NTLMを利用するあらゆる攻撃がRDPのRestricted Adminに対して実行されるおそれがある」

 「管理者がRDPのRestricted Adminや、HTTP、SMBなどのプロトコルで接続するたびに、攻撃者によって、悪意あるドメイン管理者を作成されてしまうリスクが発生する。このことは、NTLMセキュリティプロトコルに脆弱性が発見されたことの重大さを物語っている」

 Microsoftは米国時間7月11日の月例パッチの一部として、CVE-2017-8563の脆弱性を修正した。

Preemptによる説明動画

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]