NTLM関連の新たな脆弱性が見つかる

セキュリティ企業Preemptが数か月前に発見したというNTLM関連の脆弱性2件を解説している(Preempt Blogの記事、The Registerの記事、BetaNewsの記事)。

CVE-2017-8563はドメイン認証でKerberosからNTLM認証へフォールバックした際に特権昇格が発生するというもの。攻撃者は特別に細工したアプリケーションを使い、悪意あるトラフィックをドメインコントローラーに送信することで、この脆弱性を悪用できる。

この問題が発生するのはLDAPがNTLM中継攻撃から保護されないことが原因だという。グループポリシーの「ドメインコントローラー: LDAPサーバー署名必須」で「署名を必要とする」に設定すると、中間者攻撃(MitM)および資格情報中継攻撃から保護されるようになる。この設定ではセッションキーで署名されたLDAPセッション(LDAP署名)か、全体がTLSで暗号化されたLDAPセッション(LDAPS)のいずれにも該当しないセッションをドメインコントローラーが拒否するが、LDAPSの場合は資格情報中継攻撃から保護されないとのこと。

Microsoftではこの問題を確認し、7月の月例更新で修正している。CVE-2017-8563にはSSL/TLSを使用したLDAP認証のセキュリティを強化するレジストリ設定が導入されているが、設定を有効にするにはMicrosoftのサポート記事4034879に従い、レジストリを直接変更する必要がある。

もう1件はリモートデスクトップの制限付き管理モード接続に関するもの。このモードでは接続先マシンに資格情報が送信されないため、接続先が攻撃者の支配下にある場合でも接続元が保護される。そのため、サポートエンジニアが管理者権限でリモートマシンを操作する際などによく使われている。

しかし、このモードではNTLM認証へのダウングレードが認められており、NTLM中継攻撃やパスワードクラックなどが可能になるという。これについてMicrosoftでは既知の問題であるとし、NTLM中継攻撃を避けるための設定を推奨したとのことだ。　

スラドのコメントを読む | セキュリティセクション | セキュリティ | ネットワーク | Windows

　関連ストーリー：
WindowsのSCFファイルをGoogle Chromeでダウンロードさせ、SMB認証情報を取得する攻撃 2017年05月21日
ロックされたPCのログイン情報をUSB接続のネットワークアダプターに偽装したデバイスで取得する方法 2016年09月10日
デフォルト設定のWindowsおよびWindows Serverにおける権限昇格の可能性が指摘される 2016年01月20日