Windowsに脆弱性、悪用でパスワードが盗まれる恐れ

この問題は1990年代に発見され、Windows 10までのWindows全バージョンに存在。AppleやAdobeといった大手各社のソフトウェアアップデート機能が影響を受ける可能性があるという。

　ソフトウェアの更新版チェックなどの機能に使われているHTTPリクエストを利用してユーザーを不正なSMBサーバに誘導し、パスワードなどの情報を入手できてしまう攻撃手法が発見された。セキュリティ企業Cylanceが4月13日のブログで伝えた。カーネギーメロン大学CERTも同日、セキュリティ情報を公開して対策を呼び掛けている。

　この問題はWindows 10までのWindows全バージョンに存在していて、AppleやAdobeといった大手各社のソフトウェアアップデート機能が影響を受ける可能性があるという。

　Cylanceやカーネギーメロン大学CERTによると、この問題は「file://」で始まるURLをInternet Explorer（IE）に入力すると、WindowsがSMBサーバに接続しようとしてユーザー名やパスワードなどのログイン情報を提供してしまう脆弱性に起因する。この脆弱性は1997年に発見されていたという。

　Cylanceの研究チームはこの問題を突いて、中間者攻撃を通じて正規のWebサーバとの間の通信を乗っ取り、悪質なSMBサーバにリダイレクトする手口で被害者のユーザー名や暗号化されたパスワードなどを提供させる攻撃が可能であることを確認したとしている。パスワードは暗号化されているものの、ブルートフォース攻撃（総当たり攻撃）によって破られる可能性がある。

Cylanceが公開した脆弱性悪用シナリオ

　カーネギーメロン大学CERTによれば、この問題はMicrosoftのほか、OracleやAVGのウイルス対策ソフトが影響を受けることが確認された。Cylanceによれば、ほかにもAdobe、Apple、Symantec、Githubなど少なくとも31社のソフトウェアが影響を受ける可能性があるという。

　緩和策としては、ローカルネットワークからWANへのアウトバウンドSMB接続（TCP 139番および445番ポート）のブロックや、Group Policyを通じたNTLMの制限などを挙げている。また、ソフトウェアの認証用にNTLMをデフォルトで使わないよう呼び掛けた。

　Cylanceでは、今回の研究がきっかけとなって、Microsoftがこの脆弱性に対処することを望むと促している。

カーネギーメロン大学の注意喚起