JVNVU#99430390
Windows NTLM が file:// URL へのリダイレクト時に SMB 接続を行いユーザ認証情報を送信する問題
HTTP 通信を行う Windows ソフトウェアには、HTTP リクエストを file://
プロトコル に転送された場合に、SMB を使って攻撃者が用意した SMB サーバに認証情報を送信する問題が存在します。
攻撃者の SMB サーバには、ユーザの認証情報が暗号化された形で記録されます。本脆弱性は別名 "Redirect to SMB" (SMB へのリダイレクト) として知られています。
urlmon.dll
の以下の Windows API 関数が影響を受けます。
- URLDownloadA
- URLDownloadW
- URLDownloadToCacheFileA
- URLDownloadToCacheFileW
- URLDownloadToFileA
- URLDownloadToFileW
- URLOpenStream
- URLOpenBlockingStream
urlmon
は wininet
ライブラリを使って処理を行うため、脆弱性の原因となる機能は wininet
に含まれている可能性がありますが、現時点では脆弱性がどこに存在するかは判明していません。InternetExplorer や .NET Framework の WebBrowser コンポーネントも本脆弱性の影響を受けることが報告されています。さらに詳しい情報は Cylance のブログ に掲載されています。
データ送信による情報漏えい (CWE-201)
ソフトウェアの多くは、ソフトウェアアップデートの確認等さまざまな機能に HTTP リクエストを使用しています。攻撃者は、中間者攻撃を行うことで HTTP リクエストを傍受し、HTTP リダイレクトを使って攻撃者が用意した SMB サーバへリダイレクトします。リダイレクト先が file://
ではじまる URL であり、かつ被害者の PC が Windows である場合、Windows は自動的に攻撃者の SMB サーバに接続しようとしてユーザの認証情報を送信します。送信された認証情報は、SMB サーバのログに記録されます。認証情報は暗号化されているものの、総当たり攻撃 (brute force attack) によって解読される可能性があります。
HTTP リダイレクトによる攻撃手法は新規に発見されたものですが、SMB を使った同種の問題は以前から知られており、たとえば 1997年には Aaron Spangler のレポート が、2009年には Microsoft Security Advisory 974926 が公開されています。その他の参考情報は、本アドバイザリ末尾の【参考情報】を参照してください。
暗号化されたユーザの認証情報を攻撃者に取得される可能性があります。
2015年4月13日現在、対策方法は不明です。
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
- 外部ネットワーク向けの SMB 通信 (139/tcp, 445/tcp) を遮断する
- Using security policies to restrict NTLM traffic や Restricting NTLM usage 等を参考に NTLM の設定を変更する
- ソフトウェアのデフォルトの認証機能として NTLM を使用しない
- 強固なパスワードを設定し、定期的に変更する
ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
---|---|---|---|
日本電気株式会社 | 該当製品あり | 2015/10/21 |
-
CERT/CC Vulnerability Note VU#672268
Microsoft Windows NTLM automatically authenticates via SMB when following a file:// URL -
Cylance Inc.
SPEAR - Redirect to SMB -
Insecure.Org
WinNT/Win95 Automatic Authentication Vulnerability (IE Bug #4) - 14 March 1997 -
Microsoft Security Advisory 974926
Credential Relaying Attacks on Integrated Windows Authentication -
Microsoft Security Advisory 973811
Extended Protection for Authentication -
Microsoft TechNet - Windows Server
Using security policies to restrict NTLM traffic -
Microsoft TechNet - Windows Server
Restricting NTLM usage -
TechNet Blogs - Ask the Directory Services Team
NTLM Blocking and You: Application Analysis and Auditing Methodologies in Windows 7 -
Microsoft Developer Network
URLDownloadToCacheFile function -
Microsoft Developer Network
URLDownloadToFile function -
Microsoft Developer Network
Urlmon library -
Windows Dev Center
WinINet Reference -
Microsoft TechNet
Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers