JVNVU#99430390
Windows NTLM が file:// URL へのリダイレクト時に SMB 接続を行いユーザ認証情報を送信する問題

HTTP 通信を行う Windows ソフトウェアには、HTTP リクエストを file:// プロトコル に転送された場合に、SMB を使って攻撃者が用意した SMB サーバに認証情報を送信する問題が存在します。
攻撃者の SMB サーバには、ユーザの認証情報が暗号化された形で記録されます。本脆弱性は別名 "Redirect to SMB" (SMB へのリダイレクト) として知られています。

urlmon.dll の以下の Windows API 関数が影響を受けます。

• URLDownloadA
• URLDownloadW
• URLDownloadToCacheFileA
• URLDownloadToCacheFileW
• URLDownloadToFileA
• URLDownloadToFileW
• URLOpenStream
• URLOpenBlockingStream

データ送信による情報漏えい (CWE-201)
ソフトウェアの多くは、ソフトウェアアップデートの確認等さまざまな機能に HTTP リクエストを使用しています。攻撃者は、中間者攻撃を行うことで HTTP リクエストを傍受し、HTTP リダイレクトを使って攻撃者が用意した SMB サーバへリダイレクトします。リダイレクト先が file:// ではじまる URL であり、かつ被害者の PC が Windows である場合、Windows は自動的に攻撃者の SMB サーバに接続しようとしてユーザの認証情報を送信します。送信された認証情報は、SMB サーバのログに記録されます。認証情報は暗号化されているものの、総当たり攻撃 (brute force attack) によって解読される可能性があります。

HTTP リダイレクトによる攻撃手法は新規に発見されたものですが、SMB を使った同種の問題は以前から知られており、たとえば 1997年には Aaron Spangler のレポート が、2009年には Microsoft Security Advisory 974926 が公開されています。その他の参考情報は、本アドバイザリ末尾の【参考情報】を参照してください。

暗号化されたユーザの認証情報を攻撃者に取得される可能性があります。

2015年4月13日現在、対策方法は不明です。

ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

• 外部ネットワーク向けの SMB 通信 (139/tcp, 445/tcp) を遮断する
• Using security policies to restrict NTLM traffic や Restricting NTLM usage 等を参考に NTLM の設定を変更する
• ソフトウェアのデフォルトの認証機能として NTLM を使用しない
• 強固なパスワードを設定し、定期的に変更する