公開日:2015/04/14 最終更新日:2015/10/22

JVNVU#99430390
Windows NTLM が file:// URL へのリダイレクト時に SMB 接続を行いユーザ認証情報を送信する問題

概要

HTTP 通信を行う Windows ソフトウェアには、HTTP リクエストを file:// プロトコル に転送された場合に、SMB を使って攻撃者が用意した SMB サーバに認証情報を送信する問題が存在します。
攻撃者の SMB サーバには、ユーザの認証情報が暗号化された形で記録されます。本脆弱性は別名 "Redirect to SMB" (SMB へのリダイレクト) として知られています。

影響を受けるシステム

urlmon.dll の以下の Windows API 関数が影響を受けます。

  • URLDownloadA
  • URLDownloadW
  • URLDownloadToCacheFileA
  • URLDownloadToCacheFileW
  • URLDownloadToFileA
  • URLDownloadToFileW
  • URLOpenStream
  • URLOpenBlockingStream
urlmonwininet ライブラリを使って処理を行うため、脆弱性の原因となる機能は wininet に含まれている可能性がありますが、現時点では脆弱性がどこに存在するかは判明していません。InternetExplorer や .NET Framework の WebBrowser コンポーネントも本脆弱性の影響を受けることが報告されています。さらに詳しい情報は Cylance のブログ に掲載されています。

詳細情報

データ送信による情報漏えい (CWE-201)
ソフトウェアの多くは、ソフトウェアアップデートの確認等さまざまな機能に HTTP リクエストを使用しています。攻撃者は、中間者攻撃を行うことで HTTP リクエストを傍受し、HTTP リダイレクトを使って攻撃者が用意した SMB サーバへリダイレクトします。リダイレクト先が file:// ではじまる URL であり、かつ被害者の PC が Windows である場合、Windows は自動的に攻撃者の SMB サーバに接続しようとしてユーザの認証情報を送信します。送信された認証情報は、SMB サーバのログに記録されます。認証情報は暗号化されているものの、総当たり攻撃 (brute force attack) によって解読される可能性があります。

HTTP リダイレクトによる攻撃手法は新規に発見されたものですが、SMB を使った同種の問題は以前から知られており、たとえば 1997年には Aaron Spangler のレポート が、2009年には Microsoft Security Advisory 974926 が公開されています。その他の参考情報は、本アドバイザリ末尾の【参考情報】を参照してください。

想定される影響

暗号化されたユーザの認証情報を攻撃者に取得される可能性があります。

対策方法

2015年4月13日現在、対策方法は不明です。

ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
日本電気株式会社 該当製品あり 2015/10/21

参考情報

  1. CERT/CC Vulnerability Note VU#672268
    Microsoft Windows NTLM automatically authenticates via SMB when following a file:// URL
  2. Cylance Inc.
    SPEAR - Redirect to SMB
  3. Insecure.Org
    WinNT/Win95 Automatic Authentication Vulnerability (IE Bug #4) - 14 March 1997
  4. Microsoft Security Advisory 974926
    Credential Relaying Attacks on Integrated Windows Authentication
  5. Microsoft Security Advisory 973811
    Extended Protection for Authentication
  6. Microsoft TechNet - Windows Server
    Using security policies to restrict NTLM traffic
  7. Microsoft TechNet - Windows Server
    Restricting NTLM usage
  8. TechNet Blogs - Ask the Directory Services Team
    NTLM Blocking and You: Application Analysis and Auditing Methodologies in Windows 7
  9. Microsoft Developer Network
    URLDownloadToCacheFile function
  10. Microsoft Developer Network
    URLDownloadToFile function
  11. Microsoft Developer Network
    Urlmon library
  12. Windows Dev Center
    WinINet Reference
  13. Microsoft TechNet
    Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia