記事本文(要約)
新たなWindowsのゼロデイ脆弱性が発見され、攻撃者がリモートでNTLM資格情報を盗む可能性があります。この脆弱性は、Windows Explorerで悪意のあるファイルを表示させることで利用されます。影響を受けるのはすべてのWindowsバージョンで、CVE番号はまだ割り当てられていません。
ACROS Securityによると、この脆弱性を利用すると、ユーザーが共有フォルダやUSBディスクを開いたり、攻撃者のウェブページから自動でダウンロードされたファイルを含むダウンロードフォルダを表示した場合、NTLM資格情報が攻撃者に盗まれる可能性があります。
この脆弱性に対して、ACROS Securityは0Patchを通じて非公式パッチを提供しています。マイクロソフトは公式な修正を準備中で、0patchのパッチはそれまで無料で提供されます。 また、0patchは他のゼロデイ脆弱性についても報告しており、一部はマイクロソフトにより修正が行われています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 25 Mar 2025 14:22:38 -0400
Original URL: https://www.bleepingcomputer.com/news/security/new-windows-zero-day-leaks-ntlm-hashes-gets-unofficial-patch/
詳細な技術情報
- CVE番号
- この脆弱性はまだCVE-IDが割り当てられていません。ただし、関連している過去の脆弱性として、CVE-2025-21308およびCVE-2025-21377が記載されています。
- 脆弱性の仕組み
- この脆弱性は、Windows Explorerを使ってユーザーが悪意あるファイルを閲覧することにより、NTLM認証情報をリモートの攻撃者に盗まれる可能性があるというものです。具体的には、以下のようなシナリオが考えられます:
- 悪意あるファイルが保存された共有フォルダやUSBディスクを開く
- 悪意のあるWebページから自動的にダウンロードされたファイルを含む「Downloads」フォルダを閲覧する
- この脆弱性は、Windows Explorerを使ってユーザーが悪意あるファイルを閲覧することにより、NTLM認証情報をリモートの攻撃者に盗まれる可能性があるというものです。具体的には、以下のようなシナリオが考えられます:
- 攻撃手法
- 攻撃者は、この脆弱性を利用してNTLM認証情報を盗みます。これは主にNTLMリレー攻撃やハッシュ引き渡し攻撃に利用される可能性があります。具体的な攻撃手法は以下の通りです:
- NTLMリレー攻撃:脆弱なネットワークデバイスを攻撃者のサーバーに認証させる。
- パス・ザ・ハッシュ攻撃:NTLMハッシュを盗み、認証情報として使用してネットワーク上でのアクセス権を取得する。
- 攻撃者は、この脆弱性を利用してNTLM認証情報を盗みます。これは主にNTLMリレー攻撃やハッシュ引き渡し攻撃に利用される可能性があります。具体的な攻撃手法は以下の通りです:
- 潜在的な影響
- この脆弱性が悪用されると、以下のような影響が考えられます:
- 攻撃者が盗んだNTLMハッシュを使用して、ユーザーとして認証し、機密データにアクセスする。
- ネットワーク内で横方向への移動が可能になり、広範囲に攻撃が波及する可能性がある。
- 特にターゲットが公開されているExchangeサーバーのような環境では、影響が深刻になる可能性がある。
- この脆弱性が悪用されると、以下のような影響が考えられます:
- 推奨される対策
- 1. 0Patchの適用: ACROS Securityが提供する無料の非公式パッチを利用する。0Patchエージェントをインストールし、システム再起動を必要とせずに自動で適用されます。
- 2. ネットワークセキュリティの強化: NTLM認証情報のリレー攻撃を防ぐため、ネットワークの構成を見直し、不要なサービスやプロトコルを無効化する。
- 3. マイクロソフトの公式パッチ: マイクロソフトが提供する公式のセキュリティ更新が公開された際には、速やかに適用する。
- 4. ユーザー教育: ユーザーが不明なファイルを開かないように教育し、セキュリティ意識を高める。
