この問題は1990年代に発見され、Windows 10までのWindows全バージョンに存在。
AppleやAdobeといった大手各社のソフトウェアアップデート機能が影響を受ける可能性があるという。
[鈴木聖子,ITmedia]
ソフトウェアの更新版チェックなどの機能に使われているHTTPリクエストを利用してユーザーを
不正なSMBサーバに誘導し、パスワードなどの情報を入手できてしまう攻撃手法が発見された。
セキュリティ企業Cylanceが4月13日のブログで伝えた。カーネギーメロン大学CERTも同日、
セキュリティ情報を公開して対策を呼び掛けている。
この問題はWindows 10までのWindows全バージョンに存在していて、AppleやAdobeといった
大手各社のソフトウェアアップデート機能が影響を受ける可能性があるという。
Cylanceやカーネギーメロン大学CERTによると、この問題は「file://」で始まるURLを
Internet Explorer(IE)に入力すると、WindowsがSMBサーバに接続しようとしてユーザー名や
パスワードなどのログイン情報を提供してしまう脆弱性に起因する。
この脆弱性は1997年に発見されていたという。
Cylanceの研究チームはこの問題を突いて、中間者攻撃を通じて正規のWebサーバとの
間の通信を乗っ取り、悪質なSMBサーバにリダイレクトする手口で被害者のユーザー名や
暗号化されたパスワードなどを提供させる攻撃が可能であることを確認したとしている。
パスワードは暗号化されているものの、ブルートフォース攻撃(総当たり攻撃)によって
破られる可能性がある。
Cylanceが公開した脆弱性悪用シナリオ
http://image.itmedia.co.jp/enterprise/articles/1504/14/wnval01.jpg
カーネギーメロン大学CERTによれば、この問題はMicrosoftのほか、OracleやAVGの
ウイルス対策ソフトが影響を受けることが確認された。Cylanceによれば、ほかにもAdobe、
Apple、Symantec、Githubなど少なくとも31社のソフトウェアが影響を受ける可能性があるという。
緩和策としては、ローカルネットワークからWANへのアウトバウンド
SMB接続(TCP 139番および445番ポート)のブロックや、Group Policyを通じたNTLMの
制限などを挙げている。また、ソフトウェアの認証用にNTLMをデフォルトで使わないよう呼び掛けた。
Cylanceでは、今回の研究がきっかけとなって、Microsoftがこの脆弱性に対処することを望むと促している。
http://www.itmedia.co.jp/enterprise/articles/1504/14/news041.html