Windows 10/11の脆弱性(CVE-2024-21302)がNTLMハッシュを詐称攻撃で漏洩させるリスク
Windows 10/11に存在する重大な脆弱性(CVE-2024-21302)により、攻撃者がNTLMハッシュを詐称攻撃で漏洩させる可能性。企業の認証メカニズムに深刻なリスクをもたらす。
Windows 10/11のNTLMハッシュ漏洩脆弱性が詐称攻撃を可能に
セキュリティ研究者らは、Windows 10および11に存在する重大な脆弱性を公表した。この脆弱性により、攻撃者はNTLMハッシュを**詐称攻撃(スプーフィング攻撃)を通じて漏洩させることが可能となる。この脆弱性はCVE-2024-21302**として追跡されており、Exploit Databaseで公開された。この問題は、Windowsの認証メカニズムに依存する企業にとって重大なリスクをもたらす。
技術的詳細
この脆弱性は、NTLM(NT LAN Manager)認証プロトコルの弱点を悪用する。NTLMはレガシーながらも、Windows環境で広く使用されているネットワーク認証方式である。攻撃者はこの脆弱性を利用して以下を行うことができる:
- 正規のサービスを偽装し、ユーザーを悪意のあるサーバーに認証させる。
- NTLMハッシュを通信中にキャプチャし、オフラインでクラッキングしたり、Pass-the-Hash攻撃に使用したりする。
- NTLMに依存するセキュリティ制御を回避し、一部のシングルサインオン(SSO)実装にも影響を与える。
このエクスプロイト(ID: 52478)は、特権を必要としないため、低レベルの攻撃者でも実行可能である。Microsoftは詳細なアドバイザリを発表していないが、この脆弱性はNTLMのチャレンジ・レスポンスメカニズムの不適切な処理に起因すると考えられている。
影響分析
NTLMハッシュの漏洩は、以下のような深刻なリスクをもたらす:
- 認証情報の窃取:攻撃者はNTLMハッシュをクラッキングし、平文のパスワードを取得できる。特に、脆弱または使い回しの認証情報が使用されている場合にリスクが高まる。
- ラテラルムーブメント:窃取されたハッシュは、Pass-the-Hash攻撃に使用され、ネットワーク内での横展開が可能となる。
- 権限昇格:NTLMが特権アクセスに使用されている環境では、攻撃者が権限を昇格させる可能性がある。
- 企業の露出:レガシーシステム、ハイブリッド環境、またはサードパーティの統合でNTLMに依存している組織は、特に脆弱である。
セキュリティチーム向けの推奨事項
CVE-2024-21302に関連するリスクを軽減するために、セキュリティ専門家は以下の対策を講じるべきである:
- Microsoftのパッチを適用:この脆弱性に対処する最新のセキュリティアップデートを監視し、適用する。
- NTLMの無効化:可能な限りKerberosや最新の認証プロトコル(例:OAuth 2.0、SAML)への移行を進め、NTLMへの依存を減らす。
- SMB署名の強制:NTLMを悪用したリレー攻撃を防ぐため、SMB署名を必須とする。
- ネットワークのセグメンテーション:ネットワークを分割し、NTLMトラフィックを制限することで、ラテラルムーブメントを防ぐ。
- 不審な活動の監視:SIEMツールを使用して、異常なNTLM認証試行やハッシュのキャプチャを検出する。
- ユーザー教育:フィッシングやスプーフィング攻撃を認識させるための従業員教育を実施する。
次のステップ
NTLMが企業環境で広く使用されていることを考慮し、組織はパッチ適用とプロトコルの強化を優先すべきである。セキュリティチームは、認証ログを確認して悪用の兆候を調査し、NTLMベースの攻撃に対する露出を評価することが推奨される。
詳細については、Exploit Databaseのオリジナルエクスプロイト公開情報を参照のこと。