Windowsに脆弱性、悪用でパスワードが盗まれる恐れ
この問題は1990年代に発見され、Windows 10までのWindows全バージョンに存在。AppleやAdobeといった大手各社のソフトウェアアップデート機能が影響を受ける可能性があるという。
ソフトウェアの更新版チェックなどの機能に使われているHTTPリクエストを利用してユーザーを不正なSMBサーバに誘導し、パスワードなどの情報を入手できてしまう攻撃手法が発見された。セキュリティ企業Cylanceが4月13日のブログで伝えた。カーネギーメロン大学CERTも同日、セキュリティ情報を公開して対策を呼び掛けている。
この問題はWindows 10までのWindows全バージョンに存在していて、AppleやAdobeといった大手各社のソフトウェアアップデート機能が影響を受ける可能性があるという。
Cylanceやカーネギーメロン大学CERTによると、この問題は「file://」で始まるURLをInternet Explorer(IE)に入力すると、WindowsがSMBサーバに接続しようとしてユーザー名やパスワードなどのログイン情報を提供してしまう脆弱性に起因する。この脆弱性は1997年に発見されていたという。
Cylanceの研究チームはこの問題を突いて、中間者攻撃を通じて正規のWebサーバとの間の通信を乗っ取り、悪質なSMBサーバにリダイレクトする手口で被害者のユーザー名や暗号化されたパスワードなどを提供させる攻撃が可能であることを確認したとしている。パスワードは暗号化されているものの、ブルートフォース攻撃(総当たり攻撃)によって破られる可能性がある。
カーネギーメロン大学CERTによれば、この問題はMicrosoftのほか、OracleやAVGのウイルス対策ソフトが影響を受けることが確認された。Cylanceによれば、ほかにもAdobe、Apple、Symantec、Githubなど少なくとも31社のソフトウェアが影響を受ける可能性があるという。
緩和策としては、ローカルネットワークからWANへのアウトバウンドSMB接続(TCP 139番および445番ポート)のブロックや、Group Policyを通じたNTLMの制限などを挙げている。また、ソフトウェアの認証用にNTLMをデフォルトで使わないよう呼び掛けた。
Cylanceでは、今回の研究がきっかけとなって、Microsoftがこの脆弱性に対処することを望むと促している。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.